Cyberkriminelle, die polyglotte Dateien in dieser Schadsoftware-Verteilung verwenden, um unter dem Radar zu segeln
[ad_1]
Fernzugriffstrojaner wie StrRAT und Ratty werden wie Komposition aus polyglotten und schädlichen Java-Archivdateien (JAR) verbreitet, welches wieder einmal zeigt, wie Bedrohungsakteure ständig neue Wege finden, unter dem Radar zu segeln.
„Angreifer verwenden jetzt die mehrsprachige Technologie, um Sicherheitslösungen zu verwirren, die dasjenige JAR-Dateiformat nicht richtig validieren“, sagte dieser Sicherheitsforscher von Deep Instinct, Simon Kenin, in einem Meldung.
Polyglot-Dateien sind Dateien, die die Syntax von zwei oder mehr verschiedenen Formaten so kombinieren, dass jedes Format ohne Fehler geparst werden kann.
Eine solche 2022-Kampagne, die von dieser Cybersicherheitsfirma entdeckt wurde, ist die Verwendung von JAR- und MSI-Formaten – dh einer File, die sowohl wie JAR- wie nebensächlich wie MSI-Installationsprogramm rechtskräftig ist – zur Verfügbarmachung dieser StrRAT-Nutzlast. Dies bedeutet nebensächlich, dass die File je nachher Interpretation sowohl von Windows wie nebensächlich von Java Runtime Environment (JRE) vollzogen werden kann.
Ein weiteres Paradebeispiel betrifft die Verwendung von CAB- und JAR-Polyglotts, um sowohl Ratty wie nebensächlich StrRAT zu liefern. Die Artefakte werden mithilfe von URL-Verkürzungsdiensten wie cutt.ly und rebrand.ly verbreitet, wodurch manche von ihnen hinaus Discord gehostet werden.
„Dasjenige Besondere an ZIP-Dateien ist, dass sie durch dasjenige Vorhandensein eines Datensatzes am Finale des zentralen Verzeichnisses identifiziert werden, dieser sich am Finale des Archivs befindet“, erklärte Kenin. “Dasjenige bedeutet, dass jeder ‘Junk’, den wir am Werden dieser File anhängen, unberücksichtigt wird und dasjenige Dokumentensammlung immer noch rechtskräftig ist.”
Dasjenige Fehlen einer angemessenen Validierung dieser JAR-Dateien führt zu einem Szenario, in dem schädliche angehängte Inhalte Sicherheitssoftware umgehen und unentdeckt bleiben können, solange bis sie hinaus den kompromittierten Hosts vollzogen werden.
Dies ist nicht dasjenige erste Mal, dass solche mit Schadsoftware durchsetzten Polyglots in freier Wildbahn entdeckt wurden. Im November 2022 entdeckte dasjenige in Hauptstadt von Deutschland ansässige DCSO CyTec verschmelzen Informationsdieb namens StrelaStealer, dieser wie DLL/Hypertext Markup Language-Polyglotte verbreitet wird.
„Die richtige Erkennung von JAR-Dateien sollte sowohl statisch wie nebensächlich energiegeladen sein“, sagte Kenin. “Es ist ineffizient, jede File hinaus dasjenige Vorhandensein eines Datensatzes für jedes dasjenige Finale des zentralen Verzeichnisses am Finale dieser File zu scannen.”
“Verteidiger sollten sowohl ‘java’- wie nebensächlich ‘javaw’-Prozesse beaufsichtigen. Wenn ein solcher Prozess ‘-jar’ wie Prämisse hat, sollte dieser wie Prämisse übergebene Dateiname wie JAR-File behandelt werden, unabhängig von dieser Dateierweiterung oder dieser Fassung von Linux ‘File’-Kommando.”
[ad_2]