Yeni bir saldırı dalgası, Remcos Rat’ı gizlice yüklemek için PowerShell ve LNK dosyalarını kullanır ve enfekte sistemlerin tam uzaktan kumandasını ve gözetimini sağlar.
Qualys Tehdit Araştırma Birimi’ndeki (TRU) siber güvenlik uzmanları, yakın zamanda Remcos Rat’ı (uzaktan erişim Truva atı) gizlice yüklemek için komut dosyası dili Powershell’i kullanan sofistike bir siber saldırıyı ortaya çıkardılar.
Bu yöntem, saldırganların birçok geleneksel antivirüs programı tarafından tespit edilmesini sağlar, çünkü kötü amaçlı kod doğrudan bilgisayarın belleğinde çalışır ve sabit sürücüye çok az iz bırakır.
Bilgileriniz için Remcos Rat, siber suçluların enfekte bilgisayarlar üzerinde tam kontrol kazanmak için kullandığı güçlü bir araçtır. Kurulduktan sonra, kurbanları gözetlemelerine, verileri çalmalarına ve diğer zararlı eylemler gerçekleştirmelerine olanak tanır.
Qualys TRU analizine göre, saldırı bir kullanıcı, ‘New-Tax311.lnk’ kısayol dosyası içeren yeni-TAX311.zip, bir Zip arşivi içinde zararlı bir dosya açtığında başlar. Bu .lnk dosyasını tıklamak normal bir program açmaz. Bunun yerine, kafa karıştırıcı (gizlenmiş) bir PowerShell komut dosyasını çalıştırmak için ‘mshta.exe’ adlı bir Windows aracı kullanır.
Bu komut dosyası bilgisayarı Remcos Rat ile enfekte etmeye hazırlar. İlk olarak, Windows Defender’ı “C:/Users/Public/” klasörünü görmezden gelmesini söyleyerek zayıflatmaya çalışır. Ayrıca, güvenli olmayan komut dosyalarının uyarı vermeden çalışmasına izin vermek için PowerShell ayarlarını da değiştirir ve gizlice çalışmaya çalışır. Remcos sıçanının bilgisayarın her açıldığında başladığından emin olmak için komut dosyası Windows kayıt defterine bilgi ekler.
Komut dosyası ayrıca "C:/Users/Public/" dosya. Biri pp1.pdf gibi sahte zararsız bir dosya olabilir. Ayrıca iki anahtar dosya indirir: 311.hta (başlangıçta çalışmaya ve benzer ‘xlab22.hta’) Ve ‘24.ps1.’ ‘24.ps1 Dosya, Remcos sıçanını içeren ana, gizli PowerShell betiğidir. Bu komut dosyası, Remcos Rat’ı doğrudan bilgisayarın belleğine yüklemek ve çalıştırmak için özel Windows Fonksiyonları (Win32 API’leri) kullanır ve dosya tabanlı güvenlik ile algılamadan kaçınır.
Analiz edilen Remcos Rat Tru araştırmacıları, gizli olmak ve saldırganlara enfekte bilgisayarlar üzerinde kontrol sağlamak için tasarlanmış 32 bit V6.0.0 programıdır. Modüler bir tasarımdır, yani farklı görevleri yerine getirebilen farklı parçalara sahiptir. Program ayrıca, gerektiğinde şifresini çözdüğü şifreli verileri de depolar.
Bu şifreli veriler, uzak sunucunun bağlandığı adresini içerir (readysteaurantscom TLS adı verilen güvenli bir bağlantı kullanarak 2025 bağlantı noktasında), kötü amaçlı yazılım adı (Remcos) ve özel bir kod (Rmc-7SY4AX) Bilgisayarın zaten enfekte olup olmadığını tanımlamak için kullanır.
Remcos, anahtarlama, pano içeriğini kopyalama, ekran görüntüleri alma, mikrofonlardan ve web kameralarından kayıt ve kullanıcı bilgilerini çalma gibi çeşitli zararlı eylemler gerçekleştirebilir. Ayrıca güvenlik programlarının analizini önlemeye çalışır.
Qualys TRU ekibi, kullanıcıların PowerShell Logging ve AMSI izlemesini (kötü amaçlı komut dosyalarının algılanmasına yardımcı olan bir Windows özelliği) etkinleştirmesi gerektiğini ve daha iyi koruma için güçlü bir EDR (uç nokta algılama ve yanıt) çözümü kullanması gerektiğini vurgular.
Hackread.com’a yapılan bir yorumda, Fortinet’in FortiGuard Labs ile IPS analisti ve güvenlik araştırmacısı Xiaopeng Zhang, belirtildi “Remcos’un arkasındaki saldırganlar taktiklerini geliştiriyor. Kötü niyetli Excel ekleri yoluyla CVE-2017-0199 güvenlik açığından yararlanmak yerine, kurbanları kötü amaçlı bir HTA dosyası yürütmeye teşvik etmek için PDF simgeleri ile gizlenmiş aldatıcı LNK dosyalarını kullanıyorlar.“
Xiaopeng bunu uyardı “Powershell kampanyada rol oynamaya devam ediyor. Bununla birlikte, en son varyant, CallWindowProc () API’si aracılığıyla Remcos’u doğrudan bellekte ayrıştırmak ve yürütmek için PowerShell’i kullanarak filtressiz bir yaklaşım benimser. Bu, Remcos’un yürütülmeden önce bir dosya olarak indirildiği önceki yöntemlerden bir kaymayı işaret eder.“