Una tecnica datata consente ai RAT di bypassare con moderato successo i controlli antivirus.
Nascondere il codice dannoso e bypassare le protezioni di sicurezza sono passaggi fondamentali degli attacchi cyber. Da tempo i cybercriminali lo stanno facendo impiegando i file Polyglot che combinano due o più formati di file in modo da consentirne l'interpretazione e l'avvio da più applicazioni diverse senza errori. Come spiegano gli esperti di Deep Instinct, è una tecnica in uso almeno dal 2018 e oggetto di studio da tempo. Oggi torna alla ribalta con una nuova campagna dei Trojan di accesso remoto (RAT) StrRAT e Ratty.
Per capire di che cosa stiamo parlando bisogna tornare indietro di qualche anno. Nel 2019 è entrata in uso la tecnica polyglot MSI + JAR (un doppio formato che consentiva di eseguire i file sia come MSI in Windows sia come file JAR dal runtime Java). Nonostante i provvedimenti di Microsoft l’espediente non ha smesso di essere impiegato e la tecnica Polyglot è stata continuativamente impiegata per confondere le soluzioni di sicurezza, impedendogli di convalidare correttamente il formato di file JAR.
Perché proprio i file JAR? Perché non sono eseguibili, quindi non sono sottoposti a controlli stringenti da parte degli antivirus. Questo consente loro di nascondere il codice dannoso e indurre l'AV a scansionare l’altra parte del file (MSI nel caso citato sopra), che dovrebbe risultare pulita. Con il tempo la tecnica si è evoluta, e il formato JAR è stato combinato sia con quello MSI sia con quello CAB. I CAB sono buoni candidati per le combinazioni polyglot con i file JAR perché anch'essi dispongono di un'intestazione per l'interpretazione del tipo di file.
Torniamo ad oggi: la campagna in corso, identificata da Deppe Instinct, riguarda i trojan di accesso remoto StrRAT e Ratty e sfrutta file MSI / JAR e CAB / JAR. Dato che i polyglot esaminati di entrambi i RAT fanno capo allo stesso indirizzo C2 e sono ospitati dalla stessa società di hosting bulgara, c’è il forte sospetto che siano entrambi utilizzati in un’unica campagna gestita dallo stesso operatore.
Le analisi rivelano che gli attaccanti stanno ottenendo un moderato successo nell'eludere il rilevamento: è un risultato notevole considerata l’età matura e l’abbondante documentazione dei due RAT in questione. I test pubblicati da Virus Total rivelano che i polyglot CAB/JAR hanno un tasso di rilevamento varia tra il 10% e il 50%. Valori che fanno riflettere, perché significa che la metà degli antivirus non riesce a individuare questa minaccia.