Распространители RAT-троянов прячут их в полиглотах с файлом JAR

Распространители RAT-троянов прячут их в полиглотах с файлом JAR

Распространители RAT-троянов прячут их в полиглотах с файлом JAR

Израильская ИБ-компания Deep Instinct опубликовала результаты разбора прошлогодних кампаний, нацеленных на засев троянов Ratty и StrRAT. Зафиксированные атаки примечательны техникой обхода защиты: вредоносы раздаются в полиглотных (многоформатных) файлах MSI/JAR и CAB/JAR, способных ввести в заблуждение антивирус.

В отличие от исполняемых файлов архивы JAR обычно не подвергаются тщательной проверке. В данном случае это позволило скрыть StrRAT и Ratty и переключить внимание сканеров на MSI- или CAB-составляющую, которая обычно воспринимается как чистая.

Исследование показало, что уловка злоумышленников оправдала себя. Уровень детектирования полезной нагрузки на VirusTotal до сих пор невысок — от 10 до 50% (6 из 58 и 31 из 62 соответственно, по состоянию на 13 января).

Для распространения троянизированных полиглот-файлов авторы атак используют Sendgrid и сервисы коротких ссылок, такие как Cutt.ly и Rebrand.ly. Многие образцы StrRAT и Ratty хостятся у болгарского провайдера BelCloud, иногда — в Discord.

Случаи использования комбинации «зловредный JAR + подписанный MSI-файл» были зафиксированы еще в 2018 году. В Microsoft на тот момент проблему проигнорировали. Летом 2020 года полиглоты MSI/JAR всплыли в атаках Ratty, и на сей раз Windows получила заплатку.

К сожалению, злоумышленников это не остановило: техника обхода антивирусов доказала свою эффективность. К тому же патчинг на местах — дело неспешное, особенно при обширной пользовательской базе. В ход пошли и другие комбинации, как эксперты недавно убедились на примере StrelaStealer, нацеленного на учетки Thunderbird и Outlook.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Positive Technologies будет развивать кибербезопасность в вузах Индонезии

Во время международного киберфестиваля Positive Hack Days компания Positive Technologies подписала соглашения о сотрудничестве с тремя университетами Индонезии: Business Center Alumni UI (KBA UI), Universitas Muhammadiyah Jakarta и Universitas NU NTB.

Главная цель — помочь повысить уровень подготовки специалистов в сфере кибербезопасности в Юго-Восточной Азии.

В рамках партнёрства планируется запуск совместных образовательных проектов: открытие учебных классов для практики, обучение преподавателей и разработка курсов по защите и атаке в информационной среде, а также по безопасной разработке. В университетах появится киберсимуляционная платформа EdTechLab, с помощью которой студенты смогут отрабатывать навыки на практике.

По словам Юлии Данчиной, директора по обучению клиентов и партнёров Positive Technologies, сотрудничество с индонезийскими вузами должно помочь студентам и преподавателям получить прикладные знания, которые актуальны в условиях роста киберугроз.

По данным исследований компании, Индонезия — одна из стран региона, где особенно остро стоит вопрос кибербезопасности. 28% объявлений на теневых форумах Юго-Восточной Азии связано именно с этой страной, а в 62% успешных атак на организации происходят утечки конфиденциальных данных. При этом университеты и научные учреждения входят в топ-5 наиболее пострадавших отраслей.

Несмотря на значительные успехи в цифровизации и повышении цифровой грамотности, страна сталкивается с новыми вызовами в сфере ИБ.

Юди Дарма, представитель министерства науки и технологий Индонезии, заявил, что подготовка специалистов в этой сфере — ключ к устойчивому развитию национальной цифровой инфраструктуры. Сотрудничество с международными игроками должно помочь в решении этой задачи.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru