Nova sofisticirana kampanja fišinga koristi zastarjele Windows formate datoteka i napredne tehnike izbjegavanja radi distribucije zloglasnog Remcos Remote Access Trojan-a. Lanac napada primarno koristi DBatLoader kao mehanizam dostave, kombinujući metode zaobilaženja kontrole korisničkog računa (UAC), prikrivene skripte i zloupotrebu “Living Off the Land Binaries” (LOTL) za uspostavljanje trajnog pristupa kompromitovanim sistemima.
Kampanja započinje pažljivo pripremljenim fišing-e-mailovima koji sadrže zlonamjerne arhive. Unutar tih arhiva nalazi se izvršna datoteka pod nazivom “FAKTURA”, dizajnirana da na ciljne sisteme instalira DBatLoader. Ovakav višestepeni napad predstavlja zabrinjavajući napredak u tehnikama distribucije zlonamjernog softvera, jer sajber kriminalci sve više iskorištavaju legitimne Windows funkcije i zastarjele formate datoteka kako bi izbjegli moderne sigurnosne rješenja.
Analitičari platforme Any.Run identifikovali su ovu kampanju kroz sveobuhvatnu analizu u sandbox okruženju, otkrivajući složene metode koje zlonamjerni softver koristi za održavanje prikrivenosti i postojanosti. Istraživači su primijetili da napad koristi Program Information Files (.pif), izvorno dizajnirane za konfigurisanje DOS programa u ranim Windows sistemima, kao mehanizam prikrivanja za zlonamjerne izvršne datoteke.
Posljedice ove kampanje nadilaze pojedinačne infekcije, jer se demonstrirane tehnike mogu prilagoditi i koristiti od strane drugih kriminalaca. Sofisticirana kombinacija zaobilaženja UAC-a, ubacivanja procesa i zloupotrebe zakazanih zadataka stvara robustan okvir za infekciju koji predstavlja izazov za tradicionalne metode detekcije i zahtijeva naprednu bihevioralnu analizu za identifikaciju.
Ključna inovacija ove kampanje leži u iskorištavanju .pif datoteka i ranjivosti u rukovanju imenima direktorija u Windows operativnom sistemu. Zlonamjerna .pif datoteka, funkcionišući kao prenosivi izvršni program (Portable Executable), zaobilazi kontrolu korisničkog računa kreiranjem lažnih direktorija kao što je “C:\Windows ” sa dodatnim razmacima na kraju. Ova tehnika eksploatiše mehanizme Windows-a za parsiranje naziva direktorija, omogućavajući zlonamjernom softveru da dobije povišene privilegije bez pokretanja standardnih UAC upita.
Napad koristi sofisticirano vremensko izbjegavanje kroz zloupotrebu uslužnog programa PING.EXE, izvršavajući naredbu za pingovanje lokalne loopback adrese (127.0.0.1) deset puta. Dok legitimne aplikacije koriste ovo za testiranje mrežne povezanosti, DBatLoader prenamjenjuje ovu funkcionalnost radi uvođenja umjetnih kašnjenja, pomažući u izbjegavanju vremenski osjetljivih sistema za detekciju.
Za postizanje postojanosti, zlonamjerni softver uspostavlja zakazani zadatak koji pokreće .url datoteku nazvanu Cmwdnsyn.url, koja zauzvrat pokreće .pif “dropper”. Kampanja dalje koristi BatCloak prikrivanje za .cmd datoteke i koristi uslužni program extrac32.exe za manipulisanje listama izuzetaka Windows Defender-a. Kada se instalira, Remcos se ubrizgava u povjerljive sistemske procese, uključujući SndVol.exe i colorcpl.exe, mijenjajući svoje ciljne procese između različitih instanci kako bi se neprimjetno uklopio u legitimne sistemske operacije.