Les attaquants distribuent des logiciels malveillants via des JAR et des fichiers polyglottes malveillants.
Les chercheurs de Deep Instinct ont signalé que des RAT comme StrRAT et Ratty ont été utilisés dans une campagne 2022 via des fichiers polyglottes et JAR. Les deux menaces semblent renvoyer vers le même serveur C2, ce qui implique qu'il s'agit d'un groupe qui concentre l'exploitation sur une vulnérabilité qu'il a découverte.
Cette nouvelle campagne de distribution de RAT combine les formats de fichiers JAR et MSI en un seul fichier. La technique polyglotte MSI+JAR, quant à elle, a été découverte en 2019, a reçu un numéro CVE - CVE-2020-1464, et a même été corrigée. Il convient de noter que le correctif semble avoir été insuffisant.
Selon les rapports, les acteurs de la menace ont réussi à échapper à la détection par les moteurs antivirus. Ce résultat est significatif compte tenu de l'ancienneté et de la qualité de la documentation des deux RAT. La charge utile StrRAT a été utilisée dans le cadre d'une campagne utilisant les formats de fichiers JAR et MSI, ce qui indique qu'elle peut être exécutée à l'aide des environnements d'exécution Windows et Java.
Selon le rapport, une autre campagne a consisté à déployer StrRAT et Ratty à l'aide de CAB et JAR polyglottes, les services de raccourcissement d'URL rebrand.ly et cutt.ly étant utilisés pour diffuser les artefacts.
Sendgrid et des services de raccourcissement d'URL tels que Cutt.ly et Rebrand.ly sont utilisés pour distribuer les polyglottes dans cette campagne, tandis que les charges utiles StrRAT et Ratty récupérées sont stockées dans Discord.
En termes de détection, les polygiciels CAB/JAR donnent six résultats positifs sur 59 moteurs AV de Virus Total, tandis que les polygiciels MSI/JAR sont identifiés par 30 fournisseurs de sécurité. Par conséquent, le taux de détection varie entre 10 % et 50 %.
Il obtient son accès initial par hameçonnage ; les experts en cybersécurité ont découvert ce lien dangereux dans divers environnements malveillants en utilisant des raccourcisseurs d'URL pour tromper les victimes involontaires : Rebrand[.]ly/afjlfvp. Pour éviter la détection, un fichier MSI signé est utilisé, qui est observé comme : 85d8949119dad6215ae0a21261b037af.
"La détection correcte des fichiers JAR doit être à la fois statique et dynamique. Il est inefficace de rechercher dans chaque fichier la présence d'un enregistrement de fin de répertoire central à la fin du fichier. Les défenseurs devraient surveiller les processus "java" et "javaw". Si un tel processus a "-jar" comme argument, le nom de fichier passé en argument doit être traité comme un fichier JAR, quelle que soit l'extension du fichier ou la sortie de la commande "file" de Linux", indique le rapport.
Les sources de cet article comprennent un article de BleepingComputer.