Los troyanos de acceso remoto como StrRAT y Ratty se distribuyen como una combinación de archivo Java políglota y malicioso (FRASCO), una vez más destacando cómo los actores de amenazas encuentran continuamente nuevas formas de pasar desapercibidos.
«Los atacantes ahora usan la técnica políglota para confundir las soluciones de seguridad que no validan correctamente el formato de archivo JAR», dijo Simon Kenin, investigador de seguridad de Deep Instinct. dicho en un informe
Archivos políglotas son archivos que combinan la sintaxis de dos o más formatos diferentes de tal manera que cada formato se puede analizar sin generar ningún error.
Una de esas campañas de 2022 detectada por la firma de ciberseguridad es el uso de formatos JAR y MSI, es decir, un archivo que es válido tanto como instalador JAR como MSI, para implementar la carga útil StrRAT. Esto también significa que el archivo puede ser ejecutado tanto por Windows como por Java Runtime Environment (JRE) en función de cómo se interprete.
Otro ejemplo involucra el uso de políglotas CAB y JAR para entregar tanto Ratty como StrRAT. Los artefactos se propagan mediante servicios de acortamiento de URL como cutt.ly y rebrand.ly, algunos de ellos alojados en Discord.
«Lo especial de los archivos ZIP es que se identifican por la presencia de un fin del registro del directorio central que se encuentra al final del archivo», explicó Kenin. «Esto significa que cualquier ‘basura’ que agreguemos al principio del archivo será ignorada y el archivo seguirá siendo válido».
La falta de una validación adecuada de los archivos JAR da como resultado un escenario en el que el contenido adjunto malicioso puede eludir el software de seguridad y pasar desapercibido hasta que se ejecuta en los hosts comprometidos.
Esta no es la primera vez que estos políglotas con malware se detectan en la naturaleza. En noviembre de 2022, DCSO CyTec, con sede en Berlín, descubrió un ladrón de información denominado StrelaStealer que se propaga como un políglota DLL/HTML.
«La detección adecuada de archivos JAR debe ser tanto estática como dinámica», dijo Kenin. «Es ineficiente escanear cada archivo para detectar la presencia de un registro de fin de directorio central al final del archivo».
«Los defensores deben monitorear los procesos ‘java’ y ‘javaw’. Si dicho proceso tiene ‘-jar’ como argumento, el nombre de archivo pasado como argumento debe tratarse como un archivo JAR, independientemente de la extensión del archivo o la salida de Linux. comando ‘archivo'».