Araştırmacılar, bir Uzaktan Erişim Truva Atı olan Remcos RAT’ı dağıtan bir kampanya tespit etti; bu kampanyada, saldırı, ithalat/ihracat veya alıntılar gibi meşru iş iletişimi kılığına girmiş kimlik avı e-postalarını kullanıyor.
E-postalar, Power Archiver ile sıkıştırılmış bir UUEncoded (UUE) dosyası içeriyor; bu dosya, çalıştırıldığında saldırganların kurbanın makinesine uzaktan erişmesine olanak tanıyan Remcos RAT indiricisini içeriyor olabilir.
Saldırgan, bir ekin içine gizlenmiş kötü amaçlı bir VBS komut dosyası dağıtıyor. Komut dosyası, ikili verileri okunabilir metin biçimine dönüştürmeye yönelik bir yöntem olan Unix’ten Unix’e Kodlama (UUE) kullanılarak kodlanır.
With ANYRUN You can Analyze any URL, Files & Email for Malicious Activity : Start your Analysis
Bu, komut dosyasını algılama sistemlerinden gizler.
UUE kodlu ekin bir başlığı, kodlanmış bir veri bölümü ve bir bitiş işaretçisi vardır.
Ekin kodunun çözülmesi, gizlenmiş bir VBS komut dosyasını ortaya çıkarır ve bu da analizi daha da karmaşık hale getirir.
VBScript bir indirici görevi görerek kötü amaçlı bir PowerShell komut dosyasını (Talehmmedes.txt) alıp kurbanın geçici dizinine kaydeder. Bu da, başka bir kötü amaçlı komut dosyası olan Haartoppens.Eft’i uzak bir sunucudan indirir ve kullanıcının AppData klasöründe saklar.
Haartoppens.Eft’in karmaşık olması, işlevselliğini analiz etmeyi zorlaştırıyor.
Bununla birlikte, başka bir PowerShell betiği olarak tanımlanabilir ve birincil işlevi, adres defteri kişileriyle ilişkili meşru bir Windows işlemi olan wab.exe işlemine kabuk kodu enjekte etmektir.
Kabuk kodu, kayıt defterini değiştirerek kalıcılık sağlar ve saldırganın, yeniden başlatma sonrasında bile güvenliği ihlal edilen sisteme erişimini sürdürmesini sağlar.
Başka bir uzak sunucudan daha fazla kötü amaçlı veri (mtzDpHLetMLypaaA173.bin) alır; bu muhtemelen başka bir PowerShell betiği veya kötü amaçlı yazılım tarafından kötü amaçlı amaçlarla kullanılan bir bileşendir.
Sonuçta tüm bu olaylar zinciri, Remcos Uzaktan Erişim Truva Atı’nın (RAT) çalıştırılmasına yol açar ve saldırgana, kurbanın makinesi üzerinde yetkisiz kontrol sağlar.
Gelişmiş bir uzaktan erişim truva atı olan Remcos RAT, sistem bilgilerini hxxp://geoplugin aracılığıyla çıkarır[.]net/json.gp, muhtemelen coğrafi konum amacıyla.
Kötü amaçlı yazılım daha sonra tuş vuruşlarını günlüğe kaydeder ve bunları kullanıcının uygulama veri dizininde (AppData) mifvghs.dat olarak saklar; bu daha sonra saldırganın komuta ve kontrol (C&C) sunucusuna sızarak saldırgana kurbanın makinesi ve tuş vuruşları hakkında kapsamlı bilgi verir.
AhnLab SEcurity Intelligence Center (ASEC), kullanıcıları AhnLab V3 kötü amaçlı yazılımdan koruma tarafından tespit edilen kötü amaçlı dosyalar konusunda uyarır.
Dosyalar fatura belgeleri (Invoice_order_new.uue ve Invoice_order_new.vbs) olarak gizlenir ve e-postalar aracılığıyla yayılır.
Bunlar Downloader/VBS.Agent (ek kötü amaçlı yazılım indirme) ve Data/BIN.Encoded (kodlanmış kötü amaçlı veriler içeren) olarak sınıflandırılır.
Dosyalarla ilişkili benzersiz karmalar olan IOC’ler (Uzlaşma Göstergeleri) bunları tanımlamak ve engellemek ve bulaşmayı önlemek için sağlanır; kullanıcılara bilinmeyen gönderenlerden gelen e-postalardan kaçınmaları, eklerdeki makroları devre dışı bırakmaları ve kötü amaçlı yazılımdan koruma imzalarını güncellemeleri önerilir.
Looking for Full Data Breach Protection? Try Cynet's All-in-One Cybersecurity Platform for MSPs: Try Free Demo