Аналитический центр AhnLab Security обнаружил, что вредоносная программа Remcos RAT распространяется через файлы UUEncoding (UUE), сжатые с помощью Power Archiver. Фишинговые письма маскируются под письма об импорте/экспорте грузов или котировках.
Угрожающий агент использует метод UUE, чтобы закодировать VBS-скрипт в файле, который после декодирования обнаруживается в обфусцированном состоянии. VBS-скрипт сохраняет скрипт PowerShell и запускает его, который загружает Haartoppens.Eft и дополнительный обфусцированный сценарий PowerShell. Этот дополнительный сценарий загружает шелл-код в процесс wab.exe, добавляет запись в реестр и загружает дополнительные данные с C&C-сервера. Вредоносная программа Remcos RAT также собирает системную информацию и отправляет данные кейлоггинга на C&C-сервер.
Indicators of Compromise
Domain Port Combinations
- frabyst44habvous1.duckdns.org:2980
- frabyst44habvous1.duckdns.org:2981
- frabyst44habvous2.duckdns.org:2980
MD5
- 7e6ca4b3c4d1158f5e92f55fa9742601
- b066e5f4a0f2809924becfffa62ddd3b
- eaec85388bfaa2cffbfeae5a497124f0
- fd14369743f0ccd3feaacca94d29a2b1
