Τους τελευταίους δύο μήνες, οι ερευνητές του Check Point εντόπισαν και ερεύνησαν μια νέα μεγάλης κλίμακας εκστρατεία phishing που στόχευσε πρόσφατα περισσότερες από 40 εξέχουσες εταιρείες σε πολλούς κλάδους, στην Κολομβία. Ο στόχος των εισβολέων ήταν να εγκαταστήσουν το περιβόητο κακόβουλο λογισμικό “Remcos” στους υπολογιστές των θυμάτων.
Το Remcos, ένας εξελιγμένος “ελβετικός σουγιάς” RAT, παρέχει στους εισβολείς τον πλήρη έλεγχο του μολυσμένου υπολογιστή και μπορεί να χρησιμοποιηθεί σε διάφορες επιθέσεις. Οι κοινές συνέπειες μιας μόλυνσης από το Remcos περιλαμβάνουν κλοπή δεδομένων, μολύνσεις παρακολούθησης και εξαγορά λογαριασμού.
Τα Remote Access Trojans (RATs) είναι malware που σχεδιάστηκαν για να επιτρέπεται σε έναν χάκερ να ελέγχει απομακρυσμένα ένα μολυσμένο υπολογιστή. Μόλις το RAT εκτελείται σε ένα παραβιασμένο σύστημα, ο επιτιθέμενος μπορεί να στέλνει εντολές και να λαμβάνει απαντήσεις.
Τα αποτελέσματα μιας μόλυνσης από το Remcos συνήθως περιλαμβάνουν την κλοπή δεδομένων, την εισβολή άλλων κακόβουλων προγραμμάτων και το hijacking των λογαριασμών των χρηστών.
Ροή επίθεσης
- Δόλιο email: Οι εισβολείς ξεκινούν στέλνοντας ψεύτικα μηνύματα ηλεκτρονικού ταχυδρομείου που μοιάζουν σαν να προέρχονται από αξιόπιστες πηγές, όπως τράπεζες ή εταιρείες στην Κολομβία. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου ενδέχεται να μιλούν για επείγοντα θέματα, απλήρωτα χρέη ή συναρπαστικές προσφορές.
- Συνημμένο email: Μέσα σε αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου, υπάρχει ένα αρχείο που φαίνεται ακίνδυνο, όπως ένα αρχείο ZIP ή RAR. Λέει ότι έχει σημαντικά έγγραφα ή τιμολόγια για να σας κεντρίσει το ενδιαφέρον.
- Κρυφές εντολές: Το archive file περιέχει ένα αρχείο highly obfuscated Batch (BAT). Κατά την εκτέλεση, το αρχείο BAT εκτελεί εντολές PowerShell οι οποίες είναι επίσης πολύ obfuscated. Αυτό το obfuscation πολλαπλών επιπέδων καθιστά δύσκολο για τις λύσεις ασφαλείας να εντοπίσουν και να αναλύσουν το κακόβουλο ωφέλιμο φορτίο.
- Φόρτωση module .NET: Οι οδηγίες κάνουν τον υπολογιστή σας να φορτώνει δύο σημαντικά μέρη που είναι σαν εργαλεία. Αυτά τα modules είναι απαραίτητα για τα επόμενα στάδια της επίθεσης.
- Πρώτο module.NET: Evasion and Unhooking: Η δουλειά του πρώτου εργαλείου είναι να κρύβει και να ξεγελάει τις άμυνες του υπολογιστή σας. Προσπαθεί να απενεργοποιήσει τα στοιχεία ασφαλείας, ώστε τα κακά πράγματα να μην πιαστούν.
- Δεύτερο module .NET: Φόρτωση “LoadPE” και Remcos: Το δεύτερο module .NET φορτώνει δυναμικά ένα άλλο στοιχείο που ονομάζεται “LoadPE” από τους πόρους αρχείων. Το “LoadPE” είναι υπεύθυνο για το reflective loading, μια τεχνική που επιτρέπει τη φόρτωση ενός Portable Executable (PE) αρχείου (σε αυτήν την περίπτωση, του κακόβουλου λογισμικού Remcos) απευθείας στη μνήμη χωρίς να χρειάζεται να αποθηκευτεί στο δίσκο.
- Reflective Loading με “LoadPE”: Χρησιμοποιώντας το component “LoadPE”, οι εισβολείς φορτώνουν το τελικό payload, το Remcos malware, απευθείας από τους πόρους τους στη μνήμη. Αυτή η τεχνική reflective loading ενισχύει περαιτέρω την ικανότητα του κακόβουλου λογισμικού να αποφύγει τις παραδοσιακές λύσεις προστασίας από ιούς και την ασφάλεια τελικού σημείου, καθώς παρακάμπτει τυπικούς μηχανισμούς ανίχνευσης που βασίζονται σε αρχεία.
- Το τελικό payload: Remcos: Με την επιτυχή φόρτωση του κακόβουλου λογισμικού Remcos στη μνήμη, η επίθεση έχει πλέον ολοκληρωθεί. Το Remcos, ένα ισχυρό εργαλείο Απομακρυσμένης Διαχείρισης (RAT), παρέχει στους εισβολείς τον πλήρη έλεγχο του παραβιασμένου συστήματος. Χρησιμεύει ως ελβετικός σουγιάς για τους επιτιθέμενους, επιτρέποντάς τους να εκτελούν ένα ευρύ φάσμα κακόβουλων δραστηριοτήτων, όπως μη εξουσιοδοτημένη πρόσβαση, data exfiltration, keylogging, απομακρυσμένη παρακολούθηση και πολλά άλλα.
Στην πλήρη τεχνική έρευνα, η έκθεση των ερευνητών εμβαθύνει στις λεπτομέρειες της επίθεσης, τονίζοντας τις κρυφές τεχνικές που χρησιμοποιήθηκαν από τους κακόβουλους δράστες για την αποτελεσματική εκτέλεση της εκστρατείας τους.
Πηγή πληροφοριών: blog.checkpoint.com
