Ερευνητές κυβερνοασφάλειας ανακάλυψαν μια καμπάνια phishing που διαδίδει μια νέα fileless παραλλαγή του Remcos RAT malware.
Σύμφωνα με ερευνητή της Fortinet, “οι φορείς απειλών καταχρώνται τώρα το Remcos για να συλλέγουν ευαίσθητες πληροφορίες από τα θύματα και να ελέγχουν εξ αποστάσεως τους υπολογιστές τους για περαιτέρω κακόβουλες ενέργειες“.
Η επίθεση ξεκινά με ένα phishing email που χρησιμοποιεί ως δόλωμα μια υποτιθέμενη παραγγελία. Το μήνυμα προσπαθεί να πείσει τους παραλήπτες να ανοίξουν ένα συνημμένο Microsoft Excel. Πρόκειται για ένα κακόβουλο έγγραφο που έχει σχεδιαστεί για να εκμεταλλεύεται μια ευπάθεια του Office (CVE-2017-0199, βαθμολογία CVSS: 7.8), με σκοπό τη λήψη ενός HTML Application (HTA) file (“cookienetbookinetcahce.hta”) από έναν απομακρυσμένο διακομιστή (” 192.3.220[.]22″). Στη συνέχεια, εκκινεί αυτό το αρχείο χρησιμοποιώντας mshta.exe.
Δείτε επίσης: Οι Πακιστανοί hackers APT36 στοχεύουν την Ινδία με το ElizaRAT
Bot χρησιμοποιούν scalping και εξαντλούν τα δημοφιλή δώρα
Perseverance: Μελετά τους αρχαιότερους βράχους στον Άρη
Μυστήρια drones στο New Jersey: Τι λέει το Πεντάγωνο;
Το αρχείο HTA, από την πλευρά του, χρησιμοποιεί JavaScript, Visual Basic Script και κώδικα PowerShell για αποφυγή εντοπισμού. Η κύρια ευθύνη του είναι να ανακτήσει ένα εκτελέσιμο αρχείο από τον ίδιο διακομιστή και να το εκτελέσει.
Το binary, στη συνέχεια, προχωρά στην εκτέλεση ενός άλλου obfuscated προγράμματος PowerShell, ενώ υιοθετεί επίσης μια σειρά από τεχνικές κατά της ανάλυσης. Στο επόμενο βήμα, ο κακόβουλος κώδικας εκμεταλλεύεται τη διαδικασία hollowing για να κατεβάσει και να εκτελέσει το Remcos RAT.
“Αντί να αποθηκεύει το αρχείο Remcos σε ένα τοπικό αρχείο και να το εκτελεί, αναπτύσσει απευθείας το Remcos στη μνήμη της τρέχουσας διαδικασίας“, είπε ο ερευνητής της Fortinet. “Με άλλα λόγια, είναι μια fileless παραλλαγή του Remcos RAT“.
Δείτε επίσης: Οι hackers RomCom στοχεύουν ουκρανικές υπηρεσίες με το SingleCamper RAT
Το Remcos RAT συλλέγει διάφορες πληροφορίες από τον παραβιασμένο υπολογιστή, συμπεριλαμβανομένων των metadata του συστήματος, και μπορεί να εκτελέσει οδηγίες που εκδίδονται εξ αποστάσεως μέσω ενός διακομιστή εντολών και ελέγχου (C2). Οι εντολές επιτρέπουν στο πρόγραμμα να συλλέγει αρχεία, να τερματίζει διεργασίες, να διαχειρίζεται υπηρεσίες συστήματος, να επεξεργάζεται το Windows Registry, να εκτελεί εντολές, να καταγράφει περιεχόμενο στο πρόχειρο, να τροποποιεί την ταπετσαρία της επιφάνειας εργασίας, να ενεργοποιεί την κάμερα και το μικρόφωνο, να κατεβάζει επιπλέον payloads, να καταγράφει την οθόνη κ.ά.
Προστασία από RAT malware
Ο πρώτος και πιο σημαντικός τρόπος προστασίας από τα RAT malware είναι η εγκατάσταση ενός αξιόπιστου λογισμικού ασφαλείας. Το λογισμικό αυτό θα πρέπει να περιλαμβάνει προστασία από ιούς, spyware, malware και άλλες επιθέσεις, καθώς και τη δυνατότητα ανίχνευσης και απομάκρυνσης RAT (π.χ. Remcos).
Επιπλέον, είναι σημαντικό να διατηρείτε το λειτουργικό σύστημα και όλες τις εφαρμογές σας ενημερωμένες. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον υπολογιστή σας από τα τελευταία γνωστά RAT malware.
Δείτε επίσης: Η ScarCruft διαδίδει το RokRAT malware μέσω Windows Zero-Day
Επίσης, πρέπει να είστε προσεκτικοί με τα email και τα μηνύματα που λαμβάνετε. Πολλά RAT malware διαδίδονται μέσω επιθέσεων phishing, οπότε αποφεύγετε να ανοίγετε συνημμένα ή να κάνετε κλικ σε συνδέσμους από άγνωστες πηγές.
Η χρήση δυνατών κωδικών πρόσβασης και η αλλαγή τους τακτικά μπορεί, επίσης, να βοηθήσει στην προστασία από τις επιθέσεις RAT (π.χ. Remcos). Επίσης, η χρήση διπλής επαλήθευσης μπορεί να προσθέσει ένα επιπλέον επίπεδο ασφαλείας.
Τέλος, η εκπαίδευση στην ασφάλεια των πληροφοριών μπορεί να είναι ιδιαίτερα χρήσιμη. Η κατανόηση των τρόπων με τους οποίους τα RAT malware εισβάλλουν στο σύστημά σας και των τρόπων προστασίας από αυτά, μπορεί να σας βοηθήσει να παραμείνετε ασφαλείς.
Πηγή: thehackernews.com