{"id":572617,"date":"2023-01-13T13:00:39","date_gmt":"2023-01-13T13:00:39","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-ciberdelincuentes-utilizan-archivos-polyglot-en-la-distribucion-de-malware-para-pasar-desapercibidos\/"},"modified":"2023-01-13T13:00:40","modified_gmt":"2023-01-13T13:00:40","slug":"los-ciberdelincuentes-utilizan-archivos-polyglot-en-la-distribucion-de-malware-para-pasar-desapercibidos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-ciberdelincuentes-utilizan-archivos-polyglot-en-la-distribucion-de-malware-para-pasar-desapercibidos\/","title":{"rendered":"Los ciberdelincuentes utilizan archivos Polyglot en la distribuci\u00f3n de malware para pasar desapercibidos"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>13 de enero de 2023<\/span>\ue804<\/i>Ravie Lakshman\u00e1n<\/span><\/span>Detecci\u00f3n de ciberamenazas\/malware<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

Los troyanos de acceso remoto como StrRAT y Ratty se distribuyen como una combinaci\u00f3n de archivo Java pol\u00edglota y malicioso (FRASCO<\/a>), una vez m\u00e1s destacando c\u00f3mo los actores de amenazas encuentran continuamente nuevas formas de pasar desapercibidos.<\/p>\n

“Los atacantes ahora usan la t\u00e9cnica pol\u00edglota para confundir las soluciones de seguridad que no validan correctamente el formato de archivo JAR”, dijo Simon Kenin, investigador de seguridad de Deep Instinct. dicho<\/a> en un informe<\/p>\n

Archivos pol\u00edglotas<\/a> son archivos que combinan la sintaxis de dos o m\u00e1s formatos diferentes de tal manera que cada formato se puede analizar sin generar ning\u00fan error.<\/p>\n

Una de esas campa\u00f1as de 2022 detectada por la firma de ciberseguridad es el uso de formatos JAR y MSI, es decir, un archivo que es v\u00e1lido tanto como instalador JAR como MSI, para implementar la carga \u00fatil StrRAT. Esto tambi\u00e9n significa que el archivo puede ser ejecutado tanto por Windows como por Java Runtime Environment (JRE) en funci\u00f3n de c\u00f3mo se interprete.<\/p>\n

Otro ejemplo involucra el uso de pol\u00edglotas CAB y JAR para entregar tanto Ratty como StrRAT. Los artefactos se propagan mediante servicios de acortamiento de URL como cutt.ly y rebrand.ly, algunos de ellos alojados en Discord.<\/p>\n

“Lo especial de los archivos ZIP es que se identifican por la presencia de un fin del registro del directorio central<\/a> que se encuentra al final del archivo”, explic\u00f3 Kenin. “Esto significa que cualquier ‘basura’ que agreguemos al principio del archivo ser\u00e1 ignorada y el archivo seguir\u00e1 siendo v\u00e1lido”.<\/p>\n

\"Archivos<\/div>\n

La falta de una validaci\u00f3n adecuada de los archivos JAR da como resultado un escenario en el que el contenido adjunto malicioso puede eludir el software de seguridad y pasar desapercibido hasta que se ejecuta en los hosts comprometidos.<\/p>\n

Esta no es la primera vez que estos pol\u00edglotas con malware se detectan en la naturaleza. En noviembre de 2022, DCSO CyTec, con sede en Berl\u00edn, descubri\u00f3 un ladr\u00f3n de informaci\u00f3n denominado StrelaStealer<\/a> que se propaga como un pol\u00edglota DLL\/HTML.<\/p>\n

“La detecci\u00f3n adecuada de archivos JAR debe ser tanto est\u00e1tica como din\u00e1mica”, dijo Kenin. “Es ineficiente escanear cada archivo para detectar la presencia de un registro de fin de directorio central al final del archivo”.<\/p>\n

“Los defensores deben monitorear los procesos ‘java’ y ‘javaw’. Si dicho proceso tiene ‘-jar’ como argumento, el nombre de archivo pasado como argumento debe tratarse como un archivo JAR, independientemente de la extensi\u00f3n del archivo o la salida de Linux. comando ‘archivo'”.<\/p>\n

<\/p>\n

\u00bfEncontraste este art\u00edculo interesante? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n