Los investigadores de seguridad de Deep Instinct han detectado recientemente e informado de la existencia de nuevos ciberataques que explotan archivos multilenguaje para la distribución de StrRAT y Ratty: dos malware RAT bastante peligrosos.
https://cibered.com/malware-romcomrat-ocultado-keepass-solarwinds-npm-veeam/
Malware: StrRAT y Ratty distribuidos dentro de archivos multilenguaje
Según lo revelado, los archivos que ocultan las dos RAT se distribuyen a través de los servicios de acortamiento de URL, Sendgrid y Discord.
https://cibered.com/principales-tendencias-hacking-etico/
La técnica en cuestión resulta especialmente eficaz al combinarse dos formatos capaces de eludir las protecciones de Windows y software de seguridad.
En cuanto a la técnica adoptada para la difusión de amenazas, se han explotado las combinaciones MSI+JAR y CAB+JAR para distribuir StrRAT y Ratty. El formato MSI usa un identificador al principio del archivo, mientras que el formato JAR lo usa al final del archivo.
https://cibered.com/ciberdelicuentes-blackcat-nuevas-tecnicas-extorsion/
Esto hace que se ignore todo lo agregado antes del identificador JAR, es decir, el código de malware RAT.
Por lo tanto, los antivirus escanean la parte MSI del archivo pero rara vez realiza también el análisis de la parte JAR, ya que esos no son ejecutables, sino archivos ZIP.