Аналитический центр AhnLab Security (ASEC) сообщает, что вирус RemcosRAT использует технику стеганографии для распространения.
Атаки начинаются с создания документа Word, в который внедряются шаблоны. Затем загружается и выполняется файл RTF, который использует уязвимость в редакторе уравнений. RTF-файл загружает два VBScript-скрипта с внешних сайтов, один из которых похож на сервис "Pastebin" для загрузки текста. Загруженный VBScript скрытно запускает сценарий PowerShell через замену. Этот сценарий загружает изображение, содержащее данные, закодированные в Base64. Декодированные данные имеют формат ".NET DLL" и выполняются с помощью рефлексивной загрузки кода. Затем сценарий загружает дополнительный файл с указанным в аргументе сайтом C2 и выполняет его с помощью техники углубления процесса. В результате запускается вредоносная программа RemcosRAT.
Indicators of Compromise
IPv4
- 107.175.31.187
IPv4 Port Combinations
- 192.210.201.57:52748
URLs
- http://ur8ly.com/asy2xr
- https://paste.ee/dEh1G4
MD5
- 6605b28a03ea7caa3a40451cbbc75034
- b06fe78aad12f615595040308affc0d8
- c7603f1da9d5ebb35076f285eb374ba6
- f5a49410d9ea23dc2cf67d7d3ba8fad0
- fdfd9e702f54e28dc2ca5f7c04bf1c8f