Bandidos usam arquivos poliglotas em ondas de ataques que já duram anos

Duas quadrilhas de malware de acesso remoto estão utilizando arquivos poliglotas para manter ativos ataques com famílias de malwares conhecidas e relativamente antigas. Os dados em formato MSI/JAR e CAB/JAR são usados para esconder códigos maliciosos em seu interior, se aproveitando da combinação de extensões para escapar do crivo de plataformas de segurança empresariais ou para o usuário final.

• Especialistas preveem explosão de ataques cibernéticos para 2023
• Os 5 métodos de ataque cibernético em que você precisa ficar de olho

O alerta é dos pesquisadores da empresa de cibersegurança Deep Instinct, que apontam relativo sucesso em campanhas envolvendo os malwares StrRAT e Ratty, ambos focados na abertura de portas para controle remoto de computadores. O primeiro tipo de arquivo poliglota, por exemplo, continua sendo usado em campanhas que datam a partir de 2018, ganhando cada vez mais força na medida em que se mostram eficazes nas contaminações.

Na mistura entre JAR e MSI, por exemplo, está um dado executável, mas que aparece com a primeira extensão, não sendo reconhecida como tal por mecanismos de proteção. Ao ser utilizada como tal, o código malicioso aparece na parte instalável do arquivo, executando a implantação do trojan e permitindo mais explorações cibercriminosas.

O chamado “header mágico” presente nos arquivos em formato MSI também aparece na extensão CAB, outra que é disfarçada como se fosse um dado de final JAR. Em todos os casos, os pacotes maliciosos são hospedados na plataforma de comunicação Discord, o que facilita sua passagem como algo legítimo, e enviado por e-mail ou mensageiros instantâneos com o uso de encurtadores de URL, de forma que o endereço também não possa ser reconhecido automaticamente como uma tentativa de download.

A Deep Instinct chama a atenção para uma taixa baixa de detecção, com apenas seis de 59 antivírus reunidos na plataforma VirusTotal sendo capazes de identificar o perigo no formato CAB/JAR. A taxa é um pouco maior, subindo para 30, quando se usa a extensão MSI/JAR, mas ainda assim, é digno de atenção o fato de quase metade das soluções presentes no mercado não serem capazes de detectar um tipo ofensivo conhecido há anos.

Os detalhes das campanhas, publicados pela empresa de cibersegurança, indicam que uma mesma quadrilha está por trás das duas operações. Isso se deve a sinais de uso dos mesmos domínios de comando e controle, além de serviços de hospedagem sediados na Bulgária. Ainda que seja uma campanha ativa desde 2018, ela não é necessariamente constante, sendo desativada de tempos em tempos, indicando uma possível atividade intermediária pelos responsáveis, a serviço dos verdadeiros interessados na realização de golpes.

Como o vetor segue sendo o tradicional em ataques de phishing, fica o alerta quanto a cliques em links, e-mails ou mensagens enviadas sem remetente conhecido. A Deep Instinct também liberou indicadores de comprometimento que podem ser usados no fortalecimento de estratégias de segurança contra ataques desse tipo.

Fonte: Deep Instinct