Nieuwe aanval gebruikt Windows-snelkoppelingsbestanden om REMCOS-backdoor te installeren

Het Lat61 Threat Intelligence-team van beveiligingsbedrijf Point Wild heeft een nieuwe, misleidende, meerfasige malwarecampagne geïdentificeerd. De aanval maakt gebruik van een slimme techniek waarbij kwaadaardige Windows Shortcut-bestanden (LNK-bestanden), een eenvoudige verwijzing naar een programma of bestand, een gevaarlijke trojan voor externe toegang (RAT) genaamd REMCOS verspreiden.

Uit het onderzoek , geleid door Dr. Zulfikar Ramzan, de CTO van Point Wild, en gedeeld met Hackread.com, blijkt dat de campagne begint met een ogenschijnlijk onschuldig snelkoppelingsbestand, mogelijk bijgevoegd bij een e-mail, met een bestandsnaam als " ORDINE-DI-ACQUIST-7263535 ".

Wanneer een gebruiker erop klikt, voert het LNK-bestand discreet een PowerShell-opdracht op de achtergrond uit. Ter informatie: PowerShell is een krachtige opdrachtregeltool die Windows gebruikt voor taakautomatisering; in deze aanval wordt het echter gebruikt om een verborgen payload te downloaden/decoderen.

Deze opdracht is ontworpen om een verborgen payload te downloaden en te decoderen zonder beveiligingswaarschuwingen te activeren, bestanden op te slaan of macro's te gebruiken. Het onderzoek biedt specifieke bestandshashes voor dit LNK-bestand, waaronder MD5: ae8066bd5a66ce22f6a91bd935d4eee6 , om de detectie te vergemakkelijken.

Deze campagne is ontworpen om onopvallend te zijn door gebruik te maken van verschillende vermommingslagen. Nadat de eerste PowerShell-opdracht is uitgevoerd, wordt een Base64-gecodeerde payload opgehaald van een externe server. Dit is een veelgebruikte manier om schadelijke code in het zicht te verbergen, aangezien Base64 een standaardmethode is voor het coderen van binaire gegevens naar tekst.

Zodra de payload is gedownload en gedecodeerd, wordt deze gestart als een Program Information File ( .PIF , een type uitvoerbaar bestand dat vaak wordt gebruikt voor oudere programma's. De aanvallers hebben dit bestand vermomd als CHROME.PIF , wat een legitiem programma nabootst.

Deze laatste stap installeert de REMCOS-backdoor, waardoor aanvallers volledige controle krijgen over het gecompromitteerde systeem. De malware zorgt er ook voor dat deze op het systeem blijft bestaan door een logbestand aan te maken voor de registratie van toetsaanslagen in een nieuwe Remcos-map in de map %ProgramData% .

Eenmaal geïnstalleerd, geeft de REMCOS-backdoor de aanvallers uitgebreide controle over de computer van het slachtoffer. Het rapport over bedreigingsinformatie vermeldt dat het een breed scala aan kwaadaardige activiteiten kan uitvoeren, waaronder keylogging om wachtwoorden te stelen, het creëren van een externe shell voor directe toegang en het verkrijgen van toegang tot bestanden.

Bovendien stelt de REMCOS-backdoor aanvallers in staat om de webcam en microfoon van de computer te besturen, waardoor ze de gebruiker kunnen bespioneren. Het onderzoek toonde ook aan dat de command and control (C2)-infrastructuur voor deze specifieke campagne gehost wordt in Roemenië en de VS.

Deze bevinding onderstreept de noodzaak tot voorzichtigheid, aangezien deze aanvallen overal ter wereld vandaan kunnen komen. Onderzoekers raden gebruikers aan voorzichtig te zijn met snelkoppelingen van onbetrouwbare bronnen, bijlagen te controleren voordat ze worden geopend en bijgewerkte antivirussoftware met realtime bescherming te gebruiken.