L'attaque RAT sans fichier Remcos contourne l'antivirus grâce à des scripts PowerShell

Une nouvelle vague d'attaques utilise PowerShell et les fichiers LNK pour installer secrètement Remcos RAT, permettant un contrôle à distance complet et une surveillance des systèmes infectés.

Les experts en cybersécurité de la Qualys Threat Research Unit (TRU) ont récemment découvert une cyberattaque sophistiquée qui utilise le langage de script PowerShell pour installer secrètement Remcos RAT (Remote Access Trojan).

Cette méthode permet aux attaquants d'opérer sans être détectés par de nombreux programmes antivirus traditionnels, car le code malveillant s'exécute directement dans la mémoire de l'ordinateur, laissant très peu de traces sur le disque dur.

Pour information, Remcos RAT est un outil puissant utilisé par les cybercriminels pour prendre le contrôle total des ordinateurs infectés. Une fois installé, il leur permet d'espionner leurs victimes, de voler des données et d'effectuer d'autres actions malveillantes.

Selon l'analyse de Qualys TRU, l'attaque débute lorsqu'un utilisateur ouvre un fichier malveillant dans une archive ZIP, new-tax311.ZIP, contenant un raccourci nommé « new-tax311.lnk ». Cliquer sur ce fichier .LNK n'ouvre pas un programme normal. Il utilise plutôt un outil Windows appelé « mshta.exe » pour exécuter un script PowerShell confus (obscurci).

Ce script prépare l'ordinateur à l'infection par le RAT Remcos. Il commence par affaiblir Windows Defender en lui demandant d'ignorer le dossier « C:/Users/Public/ ». Il modifie également les paramètres PowerShell pour autoriser l'exécution de scripts non sécurisés sans avertissement et tente de s'exécuter secrètement. Pour garantir le démarrage du RAT Remcos à chaque démarrage de l'ordinateur, le script ajoute des informations au Registre Windows.

Le script télécharge également plusieurs fichiers dans le dossier "C:/Users/Public/" . L'un d'eux peut être un faux fichier inoffensif comme pp1.pdf. Il télécharge également deux fichiers clés : 311.hta (configuré pour s'exécuter au démarrage et similaire à « xlab22.hta') et « 24.ps1.' Le fichier « 24.ps1 est le script PowerShell principal, caché, qui contient le RAT Remcos. Ce script utilise des fonctions Windows spéciales (API Win32) pour charger et exécuter le RAT Remcos directement dans la mémoire de l'ordinateur, évitant ainsi toute détection par la sécurité basée sur les fichiers.

Le programme RAT TRU de Remcos analysé par les chercheurs est un programme 32 bits V6.0.0 conçu pour être furtif et permettre aux attaquants de contrôler les ordinateurs infectés. Sa conception modulaire implique la création de différents composants capables d'effectuer différentes tâches. Le programme stocke également des données chiffrées, qu'il déchiffre en cas de besoin.

Ces données cryptées contiennent l'adresse du serveur distant auquel il se connecte ( readysteaurantscom sur le port 2025 à l'aide d'une connexion sécurisée appelée TLS), le nom du malware (Remcos) et un code spécial ( Rmc-7SY4AX ) qu'il utilise pour identifier si l'ordinateur est déjà infecté.

Remcos peut effectuer diverses actions nuisibles, notamment l'enregistrement de frappes, la copie du contenu du presse-papiers, la capture d'écran, l'enregistrement de microphones et de webcams, et le vol d'informations utilisateur. Il tente également d'empêcher les programmes de sécurité d'analyser ces informations.

L'équipe Qualys TRU souligne que les utilisateurs doivent activer la journalisation PowerShell et la surveillance AMSI (une fonctionnalité Windows qui permet de détecter les scripts malveillants) et utiliser une solution EDR (Endpoint Detection and Response) puissante pour une meilleure protection.

Dans un commentaire sur Hackread.com, Xiaopeng Zhang , analyste IPS et chercheur en sécurité chez FortiGuard Labs de Fortinet, a déclaré : « Les attaquants derrière Remcos font évoluer leurs tactiques. Au lieu d'exploiter la vulnérabilité CVE-2017-0199 via des pièces jointes Excel malveillantes, ils utilisent désormais des fichiers LNK trompeurs masqués par des icônes PDF pour inciter les victimes à exécuter un fichier HTA malveillant. »

Xiaopeng a averti que « PowerShell continue de jouer un rôle dans la campagne. Cependant, la dernière variante adopte une approche sans fichier, utilisant PowerShell pour analyser et exécuter Remcos directement en mémoire via l'API CallWindowProc(). Cela marque une rupture par rapport aux méthodes précédentes, où Remcos était téléchargé sous forme de fichier avant exécution. »