Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Los atacantes distribuyen malware a través de archivos JAR y Polyglot Files maliciosos
26 de enero de 2023 - Equipo de RRPP de TuxCare
Los investigadores de Deep Instinct informaron de que se utilizaron RAT como StrRAT y Ratty en una campaña de 2022 a través de archivos poliglota y JAR. Ambas amenazas parecen informar al mismo servidor C2, lo que implica que se trata de un grupo que centra la explotación en una vulnerabilidad que ha descubierto.
Esta nueva campaña de distribución de RAT combina los formatos de archivo JAR y MSI en un único archivo. La técnica políglota MSI+JAR, por otra parte, se descubrió en 2019, se le asignó un número CVE - CVE-2020-1464, e incluso fue parcheada. Cabe señalar que la corrección parece haber sido insuficiente.
Según los informes, los actores de la amenaza tuvieron un éxito moderado a la hora de evadir la detección por parte de los motores antivirus. Esto es significativo dado lo antiguos y bien documentados que están los dos RAT. La carga útil de StrRAT se utilizó en una campaña que empleaba formatos de archivo JAR y MSI, lo que indica que podía ejecutarse tanto en entornos de ejecución de Windows como de Java.
Según el informe, otra campaña consistió en el despliegue de StrRAT y Ratty utilizando políglotas CAB y JAR, con servicios de acortamiento de URL rebrand.ly y cutt.ly utilizados para difundir los artefactos.
Sendgrid y servicios de acortamiento de URL como Cutt.ly y Rebrand.ly se utilizan para distribuir los poliglots en esta campaña, mientras que las cargas útiles StrRAT y Ratty recuperadas se almacenan en Discord.
En términos de detección, los políglotas CAB/JAR arrojan seis positivos de 59 motores AV en Virus Total, mientras que los políglotas MSI/JAR son identificados por 30 proveedores de seguridad. Como resultado, la tasa de detección varía entre el 10% y el 50%.
Consigue el acceso inicial a través del phishing; los expertos en ciberseguridad han descubierto este peligroso enlace en varios entornos maliciosos utilizando acortadores de URL para engañar a las víctimas desprevenidas: Rebrand[.]ly/afjlfvp. Para evitar la detección, se utiliza un archivo MSI firmado, que se observa como: 85d8949119dad6215ae0a21261b037af.
"La detección adecuada para archivos JAR debe ser tanto estática como dinámica. Es ineficiente escanear cada archivo en busca de la presencia de un registro de fin de directorio central al final del archivo. Los defensores deben monitorizar tanto los procesos "java" como los "javaw". Si un proceso de este tipo tiene "-jar" como argumento, el nombre de archivo pasado como argumento debe tratarse como un archivo JAR, independientemente de la extensión del archivo o de la salida del comando "file" de Linux", dice el informe.
Las fuentes de este artículo incluyen un artículo en BleepingComputer.
