Campagna malware RAT elude il rilevamento con i file polyglot

Una tecnica datata consente ai RAT di bypassare con moderato successo i controlli antivirus.

Vulnerabilità

Nascondere il codice dannoso e bypassare le protezioni di sicurezza sono passaggi fondamentali degli attacchi cyber. Da tempo i cybercriminali lo stanno facendo impiegando i file Polyglot che combinano due o più formati di file in modo da consentirne l'interpretazione e l'avvio da più applicazioni diverse senza errori. Come spiegano gli esperti di Deep Instinct, è una tecnica in uso almeno dal 2018 e oggetto di studio da tempo. Oggi torna alla ribalta con una nuova campagna dei Trojan di accesso remoto (RAT) StrRAT e Ratty.

Per capire di che cosa stiamo parlando bisogna tornare indietro di qualche anno. Nel 2019 è entrata in uso la tecnica polyglot MSI + JAR (un doppio formato che consentiva di eseguire i file sia come MSI in Windows sia come file JAR dal runtime Java). Nonostante i provvedimenti di Microsoft l’espediente non ha smesso di essere impiegato e la tecnica Polyglot è stata continuativamente impiegata per confondere le soluzioni di sicurezza, impedendogli di convalidare correttamente il formato di file JAR.

Perché proprio i file JAR? Perché non sono eseguibili, quindi non sono sottoposti a controlli stringenti da parte degli antivirus. Questo consente loro di nascondere il codice dannoso e indurre l'AV a scansionare l’altra parte del file (MSI nel caso citato sopra), che dovrebbe risultare pulita. Con il tempo la tecnica si è evoluta, e il formato JAR è stato combinato sia con quello MSI sia con quello CAB. I CAB sono buoni candidati per le combinazioni polyglot con i file JAR perché anch'essi dispongono di un'intestazione per l'interpretazione del tipo di file.


Torniamo ad oggi: la campagna in corso, identificata da Deppe Instinct, riguarda i trojan di accesso remoto StrRAT e Ratty e sfrutta file MSI / JAR e CAB / JAR. Dato che i polyglot esaminati di entrambi i RAT fanno capo allo stesso indirizzo C2 e sono ospitati dalla stessa società di hosting bulgara, c’è il forte sospetto che siano entrambi utilizzati in un’unica campagna gestita dallo stesso operatore.

Le analisi rivelano che gli attaccanti stanno ottenendo un moderato successo nell'eludere il rilevamento: è un risultato notevole considerata l’età matura e l’abbondante documentazione dei due RAT in questione. I test pubblicati da Virus Total rivelano che i polyglot CAB/JAR hanno un tasso di rilevamento varia tra il 10% e il 50%. Valori che fanno riflettere, perché significa che la metà degli antivirus non riesce a individuare questa minaccia.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Previsioni di cybersecurity per il 2023

Speciale

Supply chain security

Speciale

Speciale Mobile e IoT

Speciale

Threat Intelligence

Speciale

Cloud Security

Calendario Tutto

Feb 16
Commvault Connections on the Road | Milano
Mar 22
IDC Future of Work
Giu 08
MSP DAY 2023 - 8/9 Giugno

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter