Los investigadores de seguridad de Deep Instinct han detectado recientemente e informado de la existencia de nuevos ciberataques que explotan archivos multilenguaje para la distribución de StrRAT y Ratty: dos malware RAT bastante peligrosos.
Campaña de malware RomCom RAT se hace pasar por KeePass, SolarWinds NPM, Veeam
Malware: StrRAT y Ratty distribuidos dentro de archivos multilenguaje
Según lo revelado, los archivos que ocultan las dos RAT se distribuyen a través de los servicios de acortamiento de URL, Sendgrid y Discord.
10 Principales Tendencias y Predicciones sobre Hacking Ético para 2023
La técnica en cuestión resulta especialmente eficaz al combinarse dos formatos capaces de eludir las protecciones de Windows y software de seguridad.
En cuanto a la técnica adoptada para la difusión de amenazas, se han explotado las combinaciones MSI+JAR y CAB+JAR para distribuir StrRAT y Ratty. El formato MSI usa un identificador al principio del archivo, mientras que el formato JAR lo usa al final del archivo.
Ciberdelicuentes BlackCat implementan nuevas técnicas de extorsión
Esto hace que se ignore todo lo agregado antes del identificador JAR, es decir, el código de malware RAT.
¿Quién es Kevin Mitnick? Conociendo al hacker más buscado de la historia
Por lo tanto, los antivirus escanean la parte MSI del archivo pero rara vez realiza también el análisis de la parte JAR, ya que esos no son ejecutables, sino archivos ZIP.