Siber güvenlik araştırmacıları, Remcos RAT adı verilen bilinen ticari kötü amaçlı yazılımın yeni bir dosyasız versiyonunu yayan yeni bir kimlik avı kampanyası keşfetti.
Fortinet FortiGuard Labs araştırmacısı Xiaopeng Zhang, geçen hafta yayınlanan bir analizde, Remcos RAT’ın “alıcıya ait bilgisayarları uzaktan kontrol etmek için satın alımlara çok çeşitli gelişmiş özellikler sağladığını” söyledi.
“Ancak tehdit aktörleri, kurbanlardan hassas bilgiler toplamak ve daha fazla kötü niyetli eylem gerçekleştirmek amacıyla bilgisayarlarını uzaktan kontrol etmek için Remcos’u kötüye kullandı.”
Saldırının başlangıç noktası, alıcıları bir Microsoft Excel ekini açmaya ikna etmek için satın alma siparişi temalı tuzaklar kullanan bir kimlik avı e-postasıdır.
Kötü amaçlı Excel belgesi, Office’teki bilinen bir uzaktan kod yürütme kusurundan (CVE-2017-0199, CVSS puanı: 7,8) yararlanarak uzak bir sunucudan (“cookienetbookinetcahce.hta”) bir HTML Uygulaması (HTA) dosyası indirmek üzere tasarlanmıştır. 192.3.220[.]22″) ve mshta.exe’yi kullanarak başlatın.
HTA dosyası, tespitten kaçınmak için birden fazla JavaScript, Visual Basic Komut Dosyası ve PowerShell kodu katmanına sarılmıştır. Ana sorumluluğu, yürütülebilir bir dosyayı aynı sunucudan almak ve yürütmektir.
İkili dosya daha sonra başka bir gizlenmiş PowerShell programını çalıştırmaya devam ederken aynı zamanda algılama çabalarını karmaşıklaştırmak için bir dizi anti-analiz ve hata ayıklama önleme tekniklerini de benimser. Bir sonraki adımda, kötü amaçlı kod, sonuçta Remcos RAT’ı indirip çalıştırmak için süreç boşluğunu kullanır.
Zhang, “Remcos dosyasını yerel bir dosyaya kaydedip çalıştırmak yerine, Remcos’u doğrudan mevcut işlemin belleğine dağıtıyor” dedi. “Başka bir deyişle, Remcos’un dosyasız bir çeşididir.”
Remcos RAT, ele geçirilen ana bilgisayardan, sistem meta verileri de dahil olmak üzere çeşitli türde bilgileri toplayacak donanıma sahiptir ve saldırgan tarafından bir komut ve kontrol (C2) sunucusu aracılığıyla verilen talimatları uzaktan yürütebilir.
Bu komutlar, programın dosyaları toplamasına, işlemleri numaralandırmasına ve sonlandırmasına, sistem hizmetlerini yönetmesine, Windows Kayıt Defterini düzenlemesine, komutları ve komut dosyalarını yürütmesine, pano içeriğini yakalamasına, kurbanın masaüstü duvar kağıdını değiştirmesine, kamera ve mikrofonu etkinleştirmesine, ek yükler indirmesine, ekranı kaydetmesine, ve hatta klavye veya fare girişini devre dışı bırakın.
Açıklama, Wallarm’ın, tehdit aktörlerinin, şüphelenmeyen kullanıcıları aldatmak ve geniş çaplı kimlik avı kampanyaları yürütmek amacıyla orijinal görünen sahte faturalar göndermek için Docusign API’lerini kötüye kullandığını ortaya çıkarmasıyla geldi.
Saldırı, saldırganların şablonları değiştirmesine ve API’yi doğrudan kullanmasına olanak tanıyan meşru, ücretli bir Docusign hesabı oluşturulmasını gerektiriyor. Hesaplar daha sonra Norton Antivirus gibi tanınmış markaların belgelerinin e-imzalanması isteklerini taklit eden özel hazırlanmış fatura şablonları oluşturmak için kullanılıyor.
Şirket, “Aldatıcı şekilde hazırlanmış e-postalara ve kötü amaçlı bağlantılara dayanan geleneksel kimlik avı dolandırıcılıklarının aksine, bu olaylarda saygın şirketlerin kimliğine bürünmek, kullanıcıları ve güvenlik araçlarını hazırlıksız yakalamak için orijinal DocuSign hesapları ve şablonları kullanılıyor” dedi.
“Kullanıcılar bu belgeyi e-imzalarsa, saldırgan imzalı belgeyi DocuSign dışındaki kuruluştan ödeme talep etmek için kullanabilir veya imzalı belgeyi ödeme için DocuSign aracılığıyla finans departmanına gönderebilir.”
Kimlik avı kampanyalarının, güvenlik araçlarını atlamak ve uzaktan erişim truva atlarını hedeflere dağıtmak için ZIP dosyası birleştirme adı verilen alışılmadık bir taktikten yararlandığı da gözlemlendi.
Yöntem, birden fazla ZIP arşivinin tek bir dosyaya eklenmesini içerir; bu, 7-Zip, WinRAR ve Windows Dosya Gezgini gibi farklı programların bu tür dosyaları paketinden çıkarması ve ayrıştırması arasındaki tutarsızlık nedeniyle güvenlik sorunlarına neden olur ve bu da kötü amaçlı yüklerin bulunduğu bir senaryoya neden olur. gözden kaçmaktadır.
Perception Point yakın tarihli bir raporda, “Saldırganlar, ZIP okuyucularının ve arşiv yöneticilerinin birleştirilmiş ZIP dosyalarını işlemesinin farklı yollarını kullanarak, belirli araçların kullanıcılarını hedef alan kötü amaçlı yazılımlar yerleştirebilir.” dedi.
“Tehdit aktörleri, bu araçların birleştirilmiş arşivlerde gizlenen kötü amaçlı içeriği sıklıkla gözden kaçıracağını veya gözden kaçıracağını, böylece yüklerini tespit edilmeden sunmalarına ve arşivlerle çalışmak için belirli bir program kullanan kullanıcıları hedef almalarına olanak tanıyacağını biliyor.”
Gelişme aynı zamanda Venture Wolf olarak bilinen bir tehdit aktörünün, RedLine Stealer kötü amaçlı yazılımının bir çatalı olan MetaStealer ile Rus imalat, inşaat, BT ve telekomünikasyon sektörlerini hedef alan kimlik avı saldırılarıyla bağlantılı olmasıyla da ortaya çıkıyor.