Атака Fileless Remcos RAT обходит антивирус с помощью скриптов PowerShell

Новая волна атак использует PowerShell и LNK-файлы для тайной установки Remcos RAT, что обеспечивает полный удаленный контроль и наблюдение за зараженными системами.

Эксперты по кибербезопасности из подразделения по исследованию угроз Qualys (TRU) недавно раскрыли сложную кибератаку, в которой используется язык сценариев PowerShell для тайной установки Remcos RAT (трояна удаленного доступа).

Этот метод позволяет злоумышленникам действовать незаметно для многих традиционных антивирусных программ, поскольку вредоносный код запускается непосредственно в памяти компьютера, оставляя очень мало следов на жестком диске.

Для вашего сведения, Remcos RAT — это мощный инструмент, который киберпреступники используют для получения полного контроля над зараженными компьютерами. После установки он позволяет им шпионить за жертвами, красть данные и выполнять другие вредоносные действия.

Согласно анализу Qualys TRU, атака начинается, когда пользователь открывает вредоносный файл внутри ZIP-архива new-tax311.ZIP, который содержит файл ярлыка 'new-tax311.lnk.' Щелчок по этому файлу .LNK не открывает обычную программу. Вместо этого он использует инструмент Windows под названием 'mshta.exe' для запуска запутанного (обфусцированного) скрипта PowerShell.

Этот скрипт подготавливает компьютер к заражению Remcos RAT. Сначала он пытается ослабить Защитника Windows, заставляя его игнорировать папку «C:/Users/Public/». Он также изменяет настройки PowerShell , чтобы разрешить небезопасным скриптам запускаться без предупреждения, и пытается работать скрытно. Чтобы обеспечить запуск Remcos RAT при каждом включении компьютера, скрипт добавляет информацию в реестр Windows.

Скрипт также загружает несколько файлов в папку "C:/Users/Public/" . Один из них может быть поддельным безвредным файлом, например pp1.pdf. Он также загружает два ключевых файла: 311.hta (настроен на запуск при запуске и похож на ' xlab22.hta') и ' 24.ps1.' Файл ' 24.ps1 является основным скрытым скриптом PowerShell, содержащим Remcos RAT. Этот скрипт использует специальные функции Windows (Win32 API) для загрузки и запуска Remcos RAT непосредственно в памяти компьютера, избегая обнаружения файловой системой безопасности.

Проанализированная исследователями программа Remcos RAT TRU представляет собой 32-битную программу V6.0.0, разработанную для скрытности и предоставления злоумышленникам контроля над зараженными компьютерами. Она имеет модульную конструкцию, что означает, что она имеет различные части, которые могут выполнять различные задачи. Программа также хранит зашифрованные данные, которые она расшифровывает при необходимости.

Эти зашифрованные данные содержат адрес удаленного сервера, к которому он подключается ( readysteaurantscom на порту 2025 с использованием защищенного соединения TLS), имя вредоносной программы (Remcos) и специальный код ( Rmc-7SY4AX ), который она использует для определения того, заражен ли уже компьютер.

Remcos может выполнять различные вредоносные действия, включая кейлоггерство, копирование содержимого буфера обмена, создание снимков экрана, запись с микрофонов и веб-камер, а также кражу пользовательской информации. Он также пытается помешать программам безопасности анализировать ее.

Команда Qualys TRU подчеркивает, что пользователям следует включить ведение журнала PowerShell и мониторинг AMSI (функция Windows, помогающая обнаруживать вредоносные скрипты), а также использовать надежное решение EDR (Endpoint Detection and Response) для лучшей защиты.

В комментарии Hackread.com Сяопэн Чжан , аналитик IPS и исследователь безопасности из FortiGuard Labs компании Fortinet, заявил : « Злоумышленники, стоящие за Remcos, совершенствуют свою тактику. Вместо того чтобы эксплуатировать уязвимость CVE-2017-0199 с помощью вредоносных вложений Excel, они теперь используют обманные файлы LNK, замаскированные под иконки PDF, чтобы заставить жертв выполнить вредоносный файл HTA » .

Сяопэн предупредил, что « PowerShell продолжает играть роль в кампании. Однако последний вариант использует безфайловый подход, используя PowerShell для анализа и выполнения Remcos непосредственно в памяти через API CallWindowProc(). Это знаменует собой отход от предыдущих методов, когда Remcos загружался как файл перед выполнением » .