Киберпреступники все чаще используют PowerShell для проведения скрытных атак, обходящих традиционные средства защиты и антивирусы. Такие угрозы выполняют свой вредоносный код в памяти, минимизируя следы на диске и усложняя обнаружение. Один из недавних примеров — Remcos RAT, представляющий собой троян для удаленного доступа с высокой стойкостью и незаметностью.
Описание
Этот инструмент предоставляет злоумышленникам полный контроль над зараженными системами, что делает его идеальным для кибершпионажа и кражи данных.
В рамках новой кампании использовался загрузчик PowerShell, получивший название «K-Loader», хотя окончательные выводы еще не сделаны. Этот загрузчик предназначен для загрузки и запуска Remcos RAT. Исследователи выявили некоторые интересные аспекты этой вредоносной программы, включая использование обфускации и переменный код.
Неоднозначный путь атаки включает выполнение обфусцированного hta-файла через MSHTA.exe, создание записей в реестре для сохранения постоянства и загрузку вредоносных нагрузок в определенный каталог. После этого осуществляется динамическое разрешение необходимых адресов API через Process Environment Block (PEB), обеспечивая выполнение кода в памяти и обход механизмов обнаружения вирусов.
Исследование PE-файла Remcos RAT показывает его скрытность и контрольные функции, такие как модульная структура, оверлейная секция для обфускации и поддержка взаимодействия в удаленных сессиях. Анализ содержимого PE-файла выявляет зашифрованные данные в секции ресурсов. Эти методы и функциональность делают Remcos RAT опасным инструментом для киберпреступников и подчеркивают важность борьбы с подобными угрозами.
Индикаторы компрометации
IPv4
- 162.254.39.129
- 193.142.146.101
Domains
- readysteaurants.com
URLs
- https://mytaxclientcopy.com/xlab22.hta
MD5
- 1b26f7e369e39312e4fcbc993d483b17
- b63178f562b948b850f4676d4b8db1c0
- bf32ff64ac0cfee67f4b2df27733576a
- dd7f049a4b573cc48e0412902a2c14b5