El actor de amenazas conocido como UAC-0050 está aprovechando los ataques de phishing para distribuir Remcos RAT utilizando nuevas estrategias para evadir la detección del software de seguridad.
«El arma preferida del grupo es Remcos RAT, un notorio malware para vigilancia y control remotos, que ha estado a la vanguardia de su arsenal de espionaje», dijeron los investigadores de seguridad de Uptycs Karthickkumar Kathiresan y Shilpesh Trivedi. dicho en un informe del miércoles.
«Sin embargo, en su último giro operativo, el grupo UAC-0050 ha integrado un método de tubería para comunicación entre procesosmostrando su adaptabilidad avanzada.»
UAC-0050, activo desde 2020, tiene un historial de apuntar a entidades ucranianas y polacas a través de campañas de ingeniería social que se hacen pasar por organizaciones legítimas para engañar a los destinatarios para que abran archivos adjuntos maliciosos.
En febrero de 2023, el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) atribuyó al adversario a una campaña de phishing diseñada para entregar Remcos RAT.
En los últimos meses, el mismo troyano se ha distribuido como parte de al menos tres oleadas de phishing diferentes, y uno de esos ataques también condujo al despliegue de un ladrón de información llamado Meduza Stealer.
El análisis de Uptycs se basa en un archivo LNK que descubrió el 21 de diciembre de 2023. Si bien actualmente se desconoce el vector de acceso inicial exacto, se sospecha que involucró correos electrónicos de phishing dirigidos a personal militar ucraniano que afirma anunciar funciones de consultoría en las Fuerzas de Defensa de Israel. (FDI).
El archivo LNK en cuestión recopila información sobre los productos antivirus instalados en la computadora de destino y luego procede a recuperar y ejecutar una aplicación HTML llamada «6.hta» desde un servidor remoto usando mshta.exeun binario nativo de Windows para ejecutar archivos HTA.
Este paso allana el camino para un script de PowerShell que descomprime otro script de PowerShell para descargar dos archivos llamados «word_update.exe» y «ofer.docx» del dominio new-tech-savvy.[.]com.
La ejecución de word_update.exe hace que cree una copia de sí mismo con el nombre fmTask_dbg.exe y establezca persistencia creando un acceso directo al nuevo ejecutable en la carpeta de inicio de Windows.
El binario también emplea canalizaciones sin nombre para facilitar el intercambio de datos entre él y un proceso secundario recién generado para cmd.exe con el fin de descifrar e iniciar Remcos RAT (versión 4.9.2 Pro), que es capaz de recolectar datos del sistema y cookies e información de inicio de sesión de navegadores web como Internet Explorer, Mozilla Firefox y Google Chrome.
«Aprovechar las tuberías dentro del sistema operativo Windows proporciona un canal encubierto para la transferencia de datos, evadiendo hábilmente la detección por parte de Endpoint Detección y Respuesta (EDR) y los sistemas antivirus», dijeron los investigadores.
«Aunque no es del todo nueva, esta técnica marca un salto significativo en la sofisticación de las estrategias del grupo».