Лаборатория McAfee Labs сообщила о всплеске активности троянца Remcos Remote Access Trojan (RAT) в 3 квартале 2024 года, который распространяется через фишинговые письма с вредоносными вложениями. Remcos RAT позволяет злоумышленникам получать удаленный контроль над зараженными системами, что делает его мощным инструментом для шпионажа, утечки данных и манипулирования системами.
Remcos RAT
Технический анализ выявил две разновидности Remcos RAT, обе используют сложные техники для обеспечения скрытности и контроля. Один вариант запускает многоступенчатый процесс заражения с помощью сценария Visual Basic Script (VBS), который запускает обфусцированный сценарий PowerShell для загрузки дополнительных файлов с командно-контрольного сервера. Эти файлы выполняются и внедряются в RegAsm.exe, легитимный исполняемый файл Microsoft, чтобы избежать обнаружения. Для обеспечения устойчивости вредоносная программа создает свою копию в каталоге запуска и добавляет запись в реестр в ключ HKCU Run.
Другой вариант использует уязвимость CVE-2017-11882 через спам-письмо с вложением .docx. В RTF-документе загружается VBS-скрипт, который после деобфускации открывает команды PowerShell, загружающие и выполняющие дополнительную полезную нагрузку. Злоумышленники используют PowerShell для загрузки и выполнения вредоносных полезных нагрузок, включая DLL-файлы, имитирующие легитимные каталоги Windows. Последняя полезная нагрузка Remcos внедряется в память RegAsm.exe, и создается файл журнала для перехвата нажатий клавиш. Кроме того, сложная кибератака использует сценарии PowerShell и кодировку Base64 для выполнения вредоносных действий без записи файлов на диск, что позволяет избежать некоторых обнаружений системы безопасности. Конечная полезная нагрузка - это Remcos EXE, полученный с URL-адреса, на котором размещен обратный двоичный файл в Base64-кодировке.
Indicators of Compromise
URLs
- http://91.134.96.177/70/picturewithmegetbacktouse.tIF
- http://91.134.96.177/70/RGGFVC.txt
- https://dealc.me/NLizza
- https://raw.githubusercontent.com/NoDetectOn/NoDetectOn/refs/heads/main/DetahNoth-V.txt
SHA256
- 085ac8fa89b6a5ac1ce385c28d8311c6d58dd8545c3b160d797e3ad868c612a6
- 12ec76ef2298ac0d535cdb8b61a024446807da02c90c0eebcde86b3f9a04445a
- 69ff7b755574add8b8bb3532b98b193382a5b7cbf2bf219b276cb0b51378c74f
- 997371c951144335618b3c5f4608afebf7688a58b6a95cdc71f237f2a7cc56a2
- c09e37db3fccb31fc2f94e93fa3fe8d5d9947dbe330b0578ae357e88e042e9e5
- c86ada471253895e32a771e3954f40d1e98c5fbee4ce702fc1a81e795063170a
- d81847976ea210269bf3c98c5b32d40ed9daf78dbb1a9ce638ac472e501647d2
