Deep Instinct บริษัทด้านความปลอดภัยทางไซเบอร์ได้เผยแพร่การพบโทรจันการเข้าถึงจากระยะไกล (remote access trojans RAT) ของ StrRAT และ Ratty ได้ใช้แคมเปญใหม่โดยการใช้ไฟล์ polyglot MSI/JAR และ CAB/JAR เพื่อหลบเลี่ยงการตรวจจับจากเครื่องมือรักษาความปลอดภัย และ Anti-Virus ซึ่งเป็นที่น่าสนใจมากขึ้น เนื่องจาก StrRAT และ Ratty เป็น RAT malware ที่เคยถูกพบมานานแล้ว

polyglot files คือ ไฟล์หลากหลายภาษารวมกันในรูปแบบไฟล์ตั้งแต่สองรูปแบบขึ้นไป ซึ่ง Hackers ได้ใช้ไฟล์หลายภาษาที่ฝังคำสั่งที่เป็นอันตราย เพื่อหลบเลี่ยงการตรวจจับจากเครื่องมือรักษาความปลอดภัย และเรียกใช้โดยแอปพลิเคชันที่แตกต่างกันหลายรายการได้โดยไม่มีข้อผิดพลาด โดยล่าสุดที่พบการใช้วิธีการนี้ในการโจมตีคือ มัลแวร์ StrelaStealer ที่กำหนดเป้าหมายไปยังบัญชีผู้ใช้งาน Outlook และ Thunderbird

วิธีการโจมตี

Deep Instinct ได้อธิบายวิธีการโจมตีไว้ว่า ด้วยการรวมรูปแบบ JAR และ MSI ไว้ในไฟล์เดียว โดยไฟล์ JAR เป็นไฟล์ archive ที่จะถูกระบุโดยบันทึกที่ส่วนท้าย ในขณะที่ใน MSI ตัวระบุประเภทไฟล์คือ "magic header" ที่จุดเริ่มต้นของไฟล์ รูปแบบทั้งคู่นี้ทำให้สามารถดำเนินการเป็น MSI ใน Windows และดำเนินการเป็นไฟล์ JAR โดย Java runtime (JAR ไม่ใช่ไฟล์เรียกทำงานจึงไม่ได้รับการตรวจสอบจาก Anti-Virus ทำให้สามารถซ่อนคำสั่งที่เป็นอันตรายได้) รวมไปถึงการใช้การรวมรูปแบบ CAB/JAR แทน MSI เนื่องจากพวกเขามี magic header สำหรับการตีความประเภทไฟล์เช่นกัน

โดยพบว่า แคมเปญนี้ถูกเผยแพร่โดย Sendgrid และ URL shortening เช่น Cutt.