Зафиксирована новая высокотехнологичная кампания, нацеленная на распространение печально известного трояна удаленного доступа Remcos (RAT) через цепочку заражения, инициируемую загрузчиком DBatLoader. Анализ угрозы, проведенный в интерактивной песочнице ANY.RUN, выявил комплексную тактику, включающую обход контроля учетных записей Windows (UAC), злоупотребление системными утилитами (LOLBAS), обфускацию скриптов и механизмы обеспечения устойчивости.
Атака начинается с фишингового письма, содержащего архив с исполняемым файлом "FAKTURA", который при запуске развертывает DBatLoader, открывая путь для многослойного вторжения. Особую опасность представляет эксплуатация устаревших .pif-файлов (Program Information File), созданных для настройки DOS-программ в ранних версиях Windows. Несмотря на их архаичность, современные системы Windows по-прежнему исполняют .pif-файлы, что позволяет злоумышленникам маскировать вредоносные нагрузки и запускать их без стандартных предупреждений безопасности.
Техника обхода UAC реализуется через манипуляцию структурой каталогов. DBatLoader использует файлы вроде "alpha.pif" для создания директорий с обманчивыми именами, такими как "C:\Windows " (с пробелом в конце). Как отмечается в отчете ANY.RUN, эта тонкая уязвимость обработки имен папок в Windows позволяет вредоносу получать повышенные привилегии незаметно для пользователя и средств защиты. Для усложнения детектирования злоумышленники внедряют искусственные задержки, например, многократный пинг локального адреса (127.0.0.1) через PING.EXE, что нарушает работу механизмов, основанных на временных анализах. Дополнительно файл "svchost.pif" активирует скрипт NEO.cmd, который через утилиту extrac32.exe добавляет пути в список исключений Защитника Windows, блокируя сканирование критических областем.
Устойчивость атаки обеспечивается через запланированные задачи, запускающие файл "Cmwdnsyn.url", который инициирует .pif-дроппер для сохранения присутствия после перезагрузки. Финальная нагрузка - Remcos RAT - доставляется через обфусцированные .cmd-скрипты, обработанные инструментами вроде BatCloak для затруднения статического анализа. Троян внедряется в легитимные процессы, такие как SndVol.exe или colorcpl.exe, имитируя нормальную активность и оставаясь невидимым в диспетчере задач.
Классические сигнатурные методы защиты часто бессильны против таких многоступенчатых атак, сочетающих LOLBAS-техники и обфускацию. Эксперты подчеркивают необходимость проактивных подходов, включая детонацию подозрительных файлов в изолированных средах. Песочница ANY.RUN, поддерживающая Windows, Android и Linux, позволяет анализировать угрозы в облаке, сокращая время обнаружения до 40 секунд. Платформа фиксирует аномалии: нестандартные пути файлов, сетевые соединения и процессы, генерируя детальные отчеты с индикаторами компрометации (IOC). Это ускоряет реагирование SOC-команд, минимизирует риски для инфраструктуры и упрощает командную коллаборацию благодаря настраиваемым уровням доступа.
Экономические последствия игнорирования подобных угроз могут быть катастрофическими: Remcos предоставляет злоумышленникам полный контроль над системами, включая кейлоггинг, краду данных и скрытый доступ. Рост эксплуатации "забытых" форматов вроде .pif подчеркивает важность регулярного аудита уязвимостей и обучения пользователей. Организациям рекомендуется комбинировать песочничные решения с EDR-системами, двухфакторной аутентификацией и политикой минимальных привилегий. Только многоуровневая защита способна противостоять эволюции фишинговых кампаний, где каждая деталь - от пробела в пути до легального ping-запроса - превращается в оружие против цифровой устойчивости.