Siber güvenlik araştırmacıları, Remcos RAT adı verilen bilinen ticari kötü amaçlı yazılımın yeni bir dosyasız versiyonunu yayan yeni bir kimlik avı kampanyası keşfetti.
Fortinet FortiGuard Labs araştırmacısı Xiaopeng Zhang, Remcos RAT’ın “alıcıya ait bilgisayarları uzaktan kontrol etmek için satın alma işlemlerine çok çeşitli gelişmiş özellikler sağlıyor” dedi söz konusu Geçen hafta yayınlanan bir analizde.
“Ancak tehdit aktörleri, kurbanlardan hassas bilgiler toplamak ve bilgisayarlarını uzaktan kontrol ederek daha fazla kötü niyetli eylem gerçekleştirmek amacıyla Remcos’u kötüye kullandı.”
Saldırının başlangıç noktası, alıcıları bir Microsoft Excel ekini açmaya ikna etmek için satın alma siparişi temalı tuzaklar kullanan bir kimlik avı e-postasıdır.
Kötü amaçlı Excel belgesi, Office’teki bilinen bir uzaktan kod yürütme kusurundan yararlanmak üzere tasarlanmıştır (CVE-2017-0199CVSS puanı: 7,8) uzak bir sunucudan (“192.3.220) bir HTML Uygulaması (HTA) dosyası (“cookienetbookinetcahce.hta”) indirmek için[.]22″) ve mshta.exe’yi kullanarak başlatın.
HTA dosyası, tespitten kaçınmak için birden çok JavaScript, Visual Basic Komut Dosyası ve PowerShell kodu katmanına sarılmıştır. Ana sorumluluğu, yürütülebilir bir dosyayı aynı sunucudan almak ve yürütmektir.
İkili dosya daha sonra başka bir gizlenmiş PowerShell programını çalıştırmaya devam ederken aynı zamanda algılama çabalarını karmaşık hale getirmek için bir dizi anti-analiz ve hata ayıklama önleme tekniklerini de benimser. Bir sonraki adımda, kötü amaçlı kod, Remcos RAT’ı indirip çalıştırmak için süreç boşluğunu kullanır.
Zhang, “Remcos dosyasını yerel bir dosyaya kaydedip çalıştırmak yerine, Remcos’u doğrudan mevcut işlemin belleğine dağıtıyor” dedi. “Başka bir deyişle, Remcos’un dosyasız bir çeşididir.”
Remcos RAT, ele geçirilen ana bilgisayardan, sistem meta verileri de dahil olmak üzere çeşitli türde bilgileri toplayacak donanıma sahiptir ve saldırgan tarafından bir komut ve kontrol (C2) sunucusu aracılığıyla verilen talimatları uzaktan yürütebilir.
Bu komutlar, programın dosyaları toplamasına, işlemleri numaralandırmasına ve sonlandırmasına, sistem hizmetlerini yönetmesine, Windows Kayıt Defterini düzenlemesine, komutları ve komut dosyalarını yürütmesine, pano içeriğini yakalamasına, kurbanın masaüstü duvar kağıdını değiştirmesine, kamera ve mikrofonu etkinleştirmesine, ek yükler indirmesine, ekranı kaydetmesine, ve hatta klavye veya fare girişini devre dışı bırakın.
Açıklama, Wallarm’ın tehdit aktörlerinin Docusign API’lerini kötüye kullanma şüphelenmeyen kullanıcıları aldatmak ve geniş çaplı kimlik avı kampanyaları yürütmek amacıyla orijinal görünen sahte faturalar göndermek.
Saldırı, saldırganların şablonları değiştirmesine ve API’yi doğrudan kullanmasına olanak tanıyan meşru, ücretli bir Docusign hesabı oluşturulmasını gerektiriyor. Hesaplar daha sonra Norton Antivirus gibi tanınmış markaların belgelerinin e-imzalanması isteklerini taklit eden özel hazırlanmış fatura şablonları oluşturmak için kullanılıyor.
Şirket, “Aldatıcı şekilde hazırlanmış e-postalara ve kötü amaçlı bağlantılara dayanan geleneksel kimlik avı dolandırıcılıklarının aksine, bu olaylarda saygın şirketlerin kimliğine bürünmek, kullanıcıları ve güvenlik araçlarını hazırlıksız yakalamak için orijinal DocuSign hesapları ve şablonları kullanılıyor.” söz konusu.
“Kullanıcılar bu belgeyi e-imzalarsa, saldırgan imzalı belgeyi DocuSign dışındaki kuruluştan ödeme talep etmek için kullanabilir veya imzalı belgeyi ödeme için DocuSign aracılığıyla finans departmanına gönderebilir.”
Kimlik avı kampanyalarının, güvenlik araçlarını atlamak ve uzaktan erişim truva atlarını hedeflere dağıtmak için ZIP dosyası birleştirme adı verilen alışılmadık bir taktikten yararlandığı da gözlemlendi.
Yöntem, birden fazla ZIP arşivinin tek bir dosyaya eklenmesini içerir; bu, 7-Zip, WinRAR ve Windows Dosya Gezgini gibi farklı programların bu tür dosyaları paketinden çıkarması ve ayrıştırması arasındaki tutarsızlık nedeniyle güvenlik sorunlarına neden olur ve bu da kötü amaçlı yüklerin bulunduğu bir senaryoya neden olur. gözden kaçmaktadır.
Perception Point, “Saldırganlar, ZIP okuyucularının ve arşiv yöneticilerinin birleştirilmiş ZIP dosyalarını işlemek için kullandığı farklı yöntemlerden yararlanarak, belirli araçların kullanıcılarını hedef alan kötü amaçlı yazılımlar yerleştirebilir.” not edildi yakın zamanda yayınlanan bir raporda.
“Tehdit aktörleri, bu araçların birleştirilmiş arşivlerde gizlenen kötü amaçlı içeriği sıklıkla gözden kaçıracağını veya gözden kaçıracağını, böylece yüklerini tespit edilmeden sunmalarına ve arşivlerle çalışmak için belirli bir program kullanan kullanıcıları hedef almalarına olanak tanıyacağını biliyor.”
Gelişme aynı zamanda Venture Wolf olarak bilinen bir tehdit aktörünün de yakalanmasıyla birlikte geliyor. bağlantılı RedLine Stealer kötü amaçlı yazılımının bir çatalı olan MetaStealer ile Rus imalat, inşaat, BT ve telekomünikasyon sektörlerini hedef alan kimlik avı saldırılarına karşı.
