Лаборатория FortiGuard Labs обнаружила фишинговую кампанию, использующую Remcos RAT для получения контроля над компьютерами жертв.
Remcos RAT
Атака начинается с фишингового письма, содержащего вредоносный документ OLE Excel, который использует CVE-2017-0199, уязвимость в Microsoft Office и WordPad, для загрузки и выполнения файла HTA. Затем этот файл загружает исполняемый файл dllhost.exe, который инициирует процесс PowerShell для загрузки и выполнения вредоносного кода с использованием таких методов защиты от анализа, как векторная обработка исключений, динамический вызов системных API и API hooking. Вредоносная программа обеспечивает постоянство, выполняя процесс hollowing для внедрения себя в новый процесс Vaccinerende.exe и модифицируя системный реестр для автоматического запуска.
Полезная нагрузка Remcos - бесфайловый вариант вредоносной программы - развертывается непосредственно в памяти и взаимодействует с C&C-сервером с помощью зашифрованного трафика. Она собирает основную информацию с устройства жертвы, включая состояние процессора и памяти, уровень привилегий пользователя, местоположение устройства и т. д. Remcos может выполнять команды с C&C-сервера, такие как перехват клавиатуры, создание скриншотов, запись звука и отправка списка всех запущенных процессов.
Indicators of Compromise
URLs
- http://192.3.220.22/430/dllhost.exe
- http://192.3.220.22/hFXELFSwRHRwqbE214.bin
- http://192.3.220.22/xampp/en/cookienetbookinetcahce.hta
SHA256
- 24a4ebf1de71f332f38de69baf2da3019a87d45129411ad4f7d3ea48f506119d
- 4a670e3d4b8481ced88c74458fec448a0fe40064ab2b1b00a289ab504015e944
- f99757c98007da241258ae12ec0fd5083f0475a993ca6309811263aad17d4661
