Istraživači cyber sigurnosti otkrili su novu phishing kampanju koja širi novu varijantu poznatog komercijalnog malicioznog softvera bez datoteka pod nazivom Remcos RAT .
Remcos RAT “omogućava kupovinu sa širokim spektrom naprednih funkcija za daljinsko upravljanje računarima koji pripadaju kupcu”, rekao je istraživač Fortinet FortiGuard Labs Xiaopeng Zhang u analizi objavljenoj prošle sedmice.
“Međutim, hakeri su zloupotrebili Remcos da bi prikupili osjetljive informacije od žrtava i daljinski kontrolisali njihove kompjutere kako bi izvršili daljnje maliciozne radnje.”
Polazna tačka napada je phishing email koji koristi mamce sa temom narudžbenice kako bi uvjerio primatelje da otvore Microsoft Excel prilog.
Zlonamjerni Excel dokument je dizajniran da iskoristi poznatu grešku u daljinskom izvršavanju koda u Officeu ( CVE-2017-0199 , CVSS rezultat: 7,8) za preuzimanje datoteke HTML aplikacije (HTA) (“cookienetbookinetcahce.hta”) sa udaljenog servera (” 192.3.220[.]22″) i pokrenite ga pomoću mshta.exe.
HTA fajl je, sa svoje strane, umotan u više slojeva JavaScript, Visual Basic Script i PowerShell koda kako bi se izbegao otkrivanje. Njegova glavna odgovornost je da preuzme izvršnu datoteku sa istog servera i izvrši je.
Binarni program zatim nastavlja sa pokretanjem drugog zamagljenog programa PowerShell, istovremeno usvajajući niz tehnika protiv analize i otklanjanja grešaka kako bi zakomplikovao napore u otkrivanju. U sljedećem koraku, maliciozni kod koristi proces udubljenja kako bi na kraju preuzeo i pokrenuo Remcos RAT.
“Umjesto da sačuva Remcos fajl u lokalnu datoteku i pokrene ga, on direktno postavlja Remcos u memoriju trenutnog procesa,” rekao je Zhang. “Drugim riječima, to je varijanta Remcosa bez datoteka.”
Remcos RAT je opremljen za prikupljanje različitih vrsta informacija sa kompromitovanog hosta, uključujući sistemske metapodatke, i može izvršiti instrukcije koje je izdao napadač daljinski preko servera za komandu i kontrolu (C2).
Ove komande omogućavaju programu da prikuplja datoteke, nabraja i završava procese, upravlja sistemskim uslugama, uređuje Windows Registry, izvršava komande i skripte, snima sadržaj međuspremnika, mijenja pozadinu radne površine žrtve, omogući kameru i mikrofon, preuzima dodatne sadržaje, snima ekran, pa čak i onemogućiti unos tastature ili miša.
Objava dolazi nakon što je Wallarm otkrio da hakeri zloupotrebljavaju Docusign API-je za slanje lažnih faktura koje izgledaju autentično u pokušaju da prevare nesuđene korisnike i provode kampanje phishinga.
Napad podrazumeva kreiranje legitimnog, plaćenog Docusign naloga koji omogućava napadačima da promene šablone i direktno koriste API. Nalozi se zatim koriste za kreiranje posebno izrađenih predložaka faktura koji oponašaju zahtjeve za e-potpisivanje dokumenata poznatih brendova kao što je Norton Antivirus.
“Za razliku od tradicionalnih phishing prijevara koje se oslanjaju na obmanjujuće kreirane e-poruke i zlonamjerne veze, ovi incidenti koriste originalne DocuSign račune i šablone za lažno predstavljanje renomiranih kompanija, hvatajući korisnike i sigurnosne alate nespremne”, navodi kompanija .
“Ako korisnici e-potpišu ovaj dokument, napadač može koristiti potpisani dokument da zatraži plaćanje od organizacije izvan DocuSign-a ili pošalje potpisani dokument putem DocuSign-a finansijskom odjelu radi plaćanja.”
Uočene su i phishing kampanje koje koriste nekonvencionalnu taktiku zvanu spajanje ZIP datoteka kako bi se zaobišli sigurnosni alati i distribuirali trojanci za daljinski pristup ciljevima.
Metoda uključuje dodavanje više ZIP arhiva u jednu datoteku, što uvodi sigurnosne probleme zbog neusklađenosti u kojima različiti programi poput 7-Zip, WinRAR i Windows File Explorer otpakuju i analiziraju takve datoteke, što dovodi do scenarija u kojem maliciozno opterećenje su zanemareni.
“Iskorištavanjem različitih načina na koji čitači ZIP-a i menadžeri arhiva obrađuju povezane ZIP datoteke, napadači mogu ugraditi maliciozni softver koji posebno cilja korisnike određenih alata”, napominje Perception Point u nedavnom izvještaju.
“Hakeri znaju da će ovi alati često propustiti ili previdjeti zlonamjerni sadržaj skriven unutar povezanih arhiva, omogućavajući im da isporuče svoj teret neotkriveno i ciljaju korisnike koji koriste određeni program za rad s arhivama.”
Razvoj takođe dolazi jer je akter prijetnje poznat kao Venture Wolf povezan sa phishing napadima koji ciljaju ruske proizvodne, građevinske, IT i telekomunikacijske sektore s MetaStealer-om , forkom RedLine Stealer malvera.
Izvor:The Hacker News
