- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 4ч 33м
- Сделки
- 251
- Нарушения
- 0 / 0
Полиглотные файлы объединяют в себе два или более форматов таким образом, чтобы их без ошибок могли запускать разные приложения. Хакеры уже несколько лет пользуются этой особенностью, скрывая с ее помощью вредоносный код и путая средства защиты.
По словам исследователей Deep Instinct, с 2018 года злоумышленники часто применяют тактику объединения форматов JAR и MSI в одном файле. JAR-файлы – это архивы, идентифицируемые записью в конце файла. В MSI-файлах для идентификации типа файла используется “magic header”, стоящий в начале файла, что позволяет использовать сразу два формата в одном файле. Это дает несколько преимуществ:
- Такие файлы могут исполняться как MSI в Windows и как JAR-файлы в среде выполнения Java;
- JAR-файлы не являются исполняемыми файлами, поэтому они не так тщательно проверяются антивирусами. Это позволяет злоумышленникам скрывать в них вредоносный код, тем самым обманывая антивирус, который сканирует чистую MSI-часть файла.
Для распространения троянизированных полиглот-файлов хакеры используют Sendgrid и сервисы коротких ссылок, такие как Cutt.ly и Rebrand.ly. Полезные нагрузки StrRAT и Ratty хранятся в Discord и на болгарском хостинге BelCloud.