L’acteur malveillant connu sous le nom d’UAC-0050 exploite les attaques de phishing pour distribuer Remcos RAT en utilisant de nouvelles stratégies pour échapper à la détection des logiciels de sécurité.
« L’arme de prédilection du groupe est Remcos RAT, un malware notoire pour la surveillance et le contrôle à distance, qui est à la pointe de son arsenal d’espionnage », ont déclaré Karthick Kumar et Shilpesh Trivedi, chercheurs en sécurité chez Uptycs. dit dans un rapport de mercredi.
« Cependant, dans sa dernière évolution opérationnelle, le groupe UAC-0050 a intégré une méthode de canalisation pour communication interprocessusdémontrant leur adaptabilité avancée.
UAC-0050, actif depuis 2020, cible depuis longtemps des entités ukrainiennes et polonaises via des campagnes d’ingénierie sociale qui usurpent l’identité d’organisations légitimes pour inciter les destinataires à ouvrir des pièces jointes malveillantes.
En février 2023, l’équipe ukrainienne d’intervention en cas d’urgence informatique (CERT-UA) a attribué l’adversaire à une campagne de phishing conçue pour délivrer Remcos RAT.
Au cours des derniers mois, le même cheval de Troie a été distribué dans le cadre d’au moins trois vagues de phishing différentes, l’une de ces attaques ayant également conduit au déploiement d’un voleur d’informations appelé Meduza Stealer.
L’analyse d’Uptycs est basée sur un fichier LNK découvert le 21 décembre 2023. Bien que le vecteur d’accès initial exact soit actuellement inconnu, il est soupçonné d’avoir impliqué des e-mails de phishing ciblant le personnel militaire ukrainien prétendant annoncer des postes de consultant auprès de l’armée israélienne. (FDI).
Le fichier LNK en question collecte des informations sur les produits antivirus installés sur l’ordinateur cible, puis procède à la récupération et à l’exécution d’une application HTML nommée « 6.hta » à partir d’un serveur distant à l’aide de mshta.exeun binaire natif Windows pour exécuter des fichiers HTA.
Cette étape ouvre la voie à un script PowerShell qui décompresse un autre script PowerShell pour télécharger deux fichiers appelés « word_update.exe » et « ofer.docx » à partir du domaine new-tech-savvy.[.]com.
L’exécution de word_update.exe l’amène à créer une copie de lui-même avec le nom fmTask_dbg.exe et à établir la persistance en créant un raccourci vers le nouvel exécutable dans le dossier de démarrage de Windows.
Le binaire utilise également des canaux sans nom pour faciliter l’échange de données entre lui-même et un processus enfant nouvellement généré pour cmd.exe afin de finalement décrypter et lancer le Remcos RAT (version 4.9.2 Pro), capable de collecter des données système et les cookies et les informations de connexion des navigateurs Web comme Internet Explorer, Mozilla Firefox et Google Chrome.
« L’exploitation des canaux au sein du système d’exploitation Windows fournit un canal secret pour le transfert de données, échappant habilement à la détection par les systèmes Endpoint Detection and Response (EDR) et antivirus », ont déclaré les chercheurs.
« Bien qu’elle ne soit pas entièrement nouvelle, cette technique marque un bond significatif dans la sophistication des stratégies du groupe. »