Remcos je trojanac za daljinski pristup (RAT) koji omogućava napadačima da steknu neovlaštenu kontrolu nad zaraženim računarima.
Ovaj RAT je naoružan i često se koristi u aktivnostima kibernetičkog kriminala od svog uvođenja 2016.
Trellix istraživači su nedavno upozorili na naoružane Excel dokumente za koje je pronađeno da isporučuju Remcos RAT bez fajlova.
Oružani Excel dokument
U ovoj novoj kampanji zlonamjernog softvera otkriveni su hakeri kako iskorištavaju kritičnu ranjivost u Microsoft Officeu i WordPad-ovom rukovanju OLE objektima, što je praćeno kao “CVE-2017-0199”.
Ovdje napad počinje s phishing e-poštom koja sadrži šifriranu Excel datoteku koja izgleda zaštićena, primamljiva interakcija korisnika.
Nakon otvaranja datoteke, koristi CVE-2017-0199 za izvršavanje ugrađenih OLE objekata preuzimanjem zlonamjerne HTA datoteke sa URL-a (hxxps://slug.vercel.app/wyiqkf).
Ova HTA datoteka zatim izvršava PowerShell komande s parametrima kodiranim u base64 što pomaže u preuzimanju VBScript-a sa “hxxp://45.90.89.50/100/instantflowercaseneedbeautygirlsherealways.gIF.”
VBScript sadrži zamagljene podatke i ovi podaci kada ih obrađuje PowerShell, generišu dodatne PowerShell procese.
Ovi procesi preuzimaju JPEG datoteku (hxxp://servidorwindows.ddns.com.br/Files/vbs.jpeg) koja sadrži konačno opterećenje.
Napad ubacuje varijantu Remcos RAT-a bez datoteke u legitiman Windows proces, stoji u izvještaju .
U ovoj kampanji strategije hakera su pokazale svoju sofisticiranu taktiku izbjegavanja, jer su prvenstveno ciljale na sljedeće sektore u Belgiji, Japanu, SAD-u, Južnoj Koreji, Kanadi, Njemačkoj i Australiji:-
- Vlada
- Manufacturing
- IT
- Bankarstvo
To je dio trenda koji uključuje slične napade primjenom zlonamjernog softvera kao što su “RevengeRAT”, “ SnakeKeylogger ”, “GuLoader”, “AgentTesla” i “FormBook”.
Višestepeni pristup koristi tehnike kao što su T1221 (Ubrizgavanje predloška) i T1059.001 (Visual Basic Scripting) kako bi se zaobišle sigurnosne mjere, naglašavajući evoluirajuću složenost sajber prijetnji koje koriste naizgled bezopasne dokumente za isporuku moćnog sadržaja zlonamjernog softvera.
Napad počinje sa JPEG datotekom koja sadrži ugrađen base64 kodiran ‘dnlib.dll’, .NET biblioteku otvorenog koda za manipulaciju sklopovima.
Ovaj dll se dekodira i učitava direktno u memoriju preko System.Reflection.Assembly, .NET klase koja omogućava operacije sklapanja u vrijeme izvođenja.
PowerShell zatim preuzima tekstualnu datoteku s podacima kodiranim base64 sa zlonamjernog URL-a. Ove podatke dekodira i obrađuje učitani dnlib.dll za generisanje .NET sklopa Remcos RAT u memoriji .
RAT se zatim ubrizgava u legitimni Windows proces ‘RegAsm.exe’ za izvršenje, a ovaj proces ostavlja minimalne tragove ponašanja povezanih sa Remcos-om.
Remcos uspostavlja postojanost kroz ubrizgavanje procesa koji osigurava kontinuirani pristup napadaču.
Ovaj sofisticirani pristup kombinuje iskorištavanje ranjivosti, .NET sklopove samo za memoriju i napredne tehnike izbjegavanja, ilustrujući složenost modernog zlonamjernog softvera.
Izvor: CyberSecurityNews
