Центр экстренного реагирования AhnLab Security (ASEC) обнаружил фишинговую кампанию, распространяющуюся через спам-рассылки и выполняющую PE-файл (EXE) без создания файла на ПК пользователя. Во вложении с расширением hta в конечном итоге запускаются такие штаммы вредоносного ПО, как AgentTesla, Remcos и LimeRAT. В этой статье мы расскажем о процессе распространения от спам-рассылки до конечного бинарного файла, а также о применяемых техниках.
Письмо замаскировано под уведомление о банковском переводе. Внутри приложенного файла-образа ISO находится файл сценария (.hta), замаскированный под уведомление о переводе. Файл hta представляет собой скрипт-файл, запускаемый через mshta.exe, приложение для Windows.
В результате синтаксической интерпретации сценария PowerShell можно определить, что код запрашивает у сервера данные строкового типа (DownloadString), декодирует их (FromBase64string), а затем загружает указанные данные (CurrentDomain.Load) для вызова определенной функции ('VAI'). Этот метод не создает двоичный файл в PE-файл, а исполняет его в области памяти PowerShell без использования файлов.
PowerShell запрашивает у C2 PowerShell скрипт, после декодирования в Base64 эти данные представляют собой PE-файл (DLL).
Функции декодированной DLL включают загрузку конечного бинарного файла с C2 и внедрение его в RegAsm.exe, обычный процесс Windows. Таким образом, конечный штамм вредоносной программы запускается через RegAsm.exe. В блоге CYBLE было отмечено, что в качестве финального бинарного файла в этой фишинговой кампании были загружены Remcos, AgentTesla, LimeRAT и т.д.
Indicators of Compromise
URLs
- http://195.178.120.24/investorbase64.txt
- https://cdn.pixelbin.io/v2/red-wildflower-1b0af4/original/hta.txt
MD5
- 43e75fb2283765ebacf10135f598e98c
- 540d3bc5982322843934504ad584f370