Корейские пользователи под прицелом: злоумышленники распространяют шпионскую программу Remcos под видом софта для ставок

Исследователи из AhnLab Security Intelligence Center (ASEC) зафиксировали целенаправленную кампанию по распространению опасной программы удаленного доступа Remcos RAT (Remote Access Trojan) среди пользователей в Южной Корее. Вредоносное ПО маскируется под установщики легитимного софта для шифрования VeraCrypt или специализированные программы, связанные с нелегальными азартными играми в интернете.

Описание

Согласно отчету ASEC, точные начальные точки заражения остаются неизвестными. Однако анализ показывает, что злоумышленники активно используют социальную инженерию. Один из образцов вредоноса представляет собой программу с графическим интерфейсом, озаглавленным «Blocklist User DB Lookup *Club». В контексте нелегальных онлайн-казино и букмекерских контор такой софт якобы позволяет проверить, не находится ли аккаунт пользователя в «черном списке» оператора. На самом деле эта функция не работает, а приложение является дроппером - программой-установщиком следующей стадии атаки.

Распространение осуществляется через веб-браузеры и мессенджер Telegram. Файлы маскируются под легитимные программы, используя имена вроде «*usercon.exe» или «blackusernon.exe». Внутри ресурсов таких дропперов исследователи обнаружили зловредные сценарии VBS, которые записываются во временную директорию %TEMP% под случайными именами и сразу исполняются. Другой вариант дроппера полностью имитирует установочный файл популярной утилиты для шифрования дисков VeraCrypt, что может ввести в заблуждение рядовых пользователей, интересующихся кибербезопасностью.

Атака построена по многоступенчатой схеме, чтобы усложнить детектирование. После выполнения дроппера запускается цепочка из нескольких обфусцированных, то есть намеренно запутанных, скриптов на VBS и PowerShell. Они содержат множество бессмысленных комментариев и мусорных данных для сокрытия своей истинной цели. Например, один из файлов маскируется под изображение в формате JPG, но внутри него между специальными разделителями скрыта полезная нагрузка в формате PE, закодированная в Base64.

Прогрессируя через пять скриптовых стадий, цепочка доставляет инжектор, написанный на .NET. Этот компонент интересен тем, что отправляет логи о своей работе злоумышленникам через Discord Webhooks - механизм интеграции с популярным мессенджером. Затем инжектор загружает финальную полезную нагрузку, вредоносную программу Remcos RAT, по URL-адресу, переданному в аргументах. После загрузки и дешифровки он внедряет код Remcos в легитимный процесс AddInProcess32.exe. Примечательно, что в коде этого инжектора присутствуют сообщения на корейском языке, что нехарактерно для других известных кампаний с использованием Remcos.

Remcos - это коммерчески доступный инструмент удаленного администрирования, который давно взят на вооружение киберпреступниками. Помимо стандартных функций, таких как выполнение команд, управление файлами и процессами, он обладает широкими шпионскими возможностями. Программа может вести кейлоггинг, то есть запись всех нажатий клавиш, делать скриншоты экрана, получать доступ к веб-камере и микрофону, а также извлекать учетные данные, сохраненные в веб-браузерах.

Конфигурационные данные Remcos хранятся в зашифрованном ресурсе внутри файла под названием «SETTINGS». Расшифровка позволяет увидеть настройки, заданные атакующими, включая адреса командных серверов (C2). Некоторые варианты этого вредоноса в данной кампании маскируются под «тикер биржевых котировок» и используют строки на корейском языке в именах мьютексов и ключах реестра для обеспечения устойчивости в системе. Кроме того, в отдельных образцах активирован автономный кейлоггинг, при котором перехваченные нажатия клавиш сохраняются в директории %ALLUSERSPROFILE%\remcos\.

Исследователи из ASEC приходят к выводу, что недавние случаи свидетельствуют об активной работе злоумышленников, нацеленных именно на корейских пользователей. Основываясь на именах файлов, используемых в кампании, можно предположить, что первоочередными целями могут быть операторы или пользователи нелегальных игровых платформ. Однако наличие вредоноса, замаскированного под установщик VeraCrypt, указывает на то, что в сферу интересов атакующих могут попасть и обычные пользователи. Поскольку Remcos RAT способен не только к удаленному управлению, но и к масштабной краже конфиденциальных данных, заражение им представляет серьезную угрозу для безопасности личной информации.