Киберпреступники все чаще используют PowerShell для проведения скрытных атак, обходящих традиционные средства защиты и антивирусы. Такие угрозы выполняют свой вредоносный код в памяти, минимизируя следы на диске и усложняя обнаружение. Один из недавних примеров — Remcos RAT, представляющий собой троян для удаленного доступа с высокой стойкостью и незаметностью.
Описание
Этот инструмент предоставляет злоумышленникам полный контроль над зараженными системами, что делает его идеальным для кибершпионажа и кражи данных.
В рамках новой кампании использовался загрузчик PowerShell, получивший название «K-Loader», хотя окончательные выводы еще не сделаны. Этот загрузчик предназначен для загрузки и запуска Remcos RAT. Исследователи выявили некоторые интересные аспекты этой вредоносной программы, включая использование обфускации и переменный код.
Неоднозначный путь атаки включает выполнение обфусцированного hta-файла через MSHTA.exe, создание записей в реестре для сохранения постоянства и загрузку вредоносных нагрузок в определенный каталог. После этого осуществляется динамическое разрешение необходимых адресов API через Process Environment Block (PEB), обеспечивая выполнение кода в памяти и обход механизмов обнаружения вирусов.
Исследование PE-файла Remcos RAT показывает его скрытность и контрольные функции, такие как модульная структура, оверлейная секция для обфускации и поддержка взаимодействия в удаленных сессиях. Анализ содержимого PE-файла выявляет зашифрованные данные в секции ресурсов. Эти методы и функциональность делают Remcos RAT опасным инструментом для киберпреступников и подчеркивают важность борьбы с подобными угрозами.
