Se observa en estado salvaje una nueva variante de Remcos RAT

Iniciado por AXCESS, Noviembre 12, 2024, 02:15:22 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los laboratorios FortiGuard de Fortinet descubrieron recientemente una campaña de phishing que difundía una nueva variante de Remcos RAT.

Remcos es una herramienta de administración remota (RAT) comercial que se vende en línea para permitir a los compradores controlar de forma remota las computadoras. Los actores de amenazas utilizan Remcos para robar información confidencial y controlar las computadoras de las víctimas para realizar actividades maliciosas.

Los mensajes de phishing contienen un documento de Excel malicioso camuflado en un archivo de pedido para engañar al destinatario y lograr que lo abra. Al abrir el archivo, se explota la vulnerabilidad RCE CVE-2017-0199.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Desde 2017, los actores de amenazas han utilizado documentos de archivo de texto enriquecido (RTF) como arma aprovechando una falla en la interfaz de vinculación e incrustación de objetos (OLE) de Office para distribuir malware como el troyano bancario DRIDEX.

Una vez que se explota la CVE-2017-0199, se descarga un archivo HTA y se ejecuta en el dispositivo del destinatario.

En este ataque, el programa MS Excel accede a una URL abreviada que redirecciona a una dirección IP específica y descarga un archivo HTA (aplicación HTML). Este archivo, ejecutado por la aplicación de Windows mshta.exe a través de los componentes DCOM de Excel, inicia la cadena de ataque.

Los investigadores notaron que el archivo HTA está envuelto en múltiples capas que utilizan diferentes lenguajes de script y métodos de codificación, incluidos JavaScript, VBScript, codificación Base64, codificación URL y PowerShell, en un intento de evadir la detección.

El archivo HTA descargado ejecutado por mshta.exe y ejecuta el código PowerShell para descargar un archivo EXE malicioso, dllhost.exe, en el dispositivo de la víctima. Una vez ejecutado, dllhost.exe extrae los archivos en la carpeta %AppData% y luego ejecuta PowerShell para cargar y ejecutar el código malicioso oculto. Este script de PowerShell lee y ejecuta el contenido de un archivo extraído, Aerognosy.Res, que invoca más comandos. Luego, el código PowerShell ofuscado copia dllhost.exe en %temp%, lo renombra como Vaccinerende.exe, oculta el proceso PowerShell, carga el código malicioso en la memoria y lo ejecuta mediante llamadas API como VirtualAlloc() y CallWindowProcA().

"El código malicioso realiza un vaciado de procesos para colocarse en un proceso Vaccinerende.exe recién creado (copiado de dllhost.exe). Para ello, llama a la API CreateProcessInternalW() con CreatFlags de CREATE_SUSPENDED (0x4), que suspenderá el nuevo proceso después de su creación. A continuación, llama a algunas API relacionadas para transferir todo el código malicioso al nuevo proceso y ejecutarlo", se lee en el análisis publicado por Fortinet.

El código malicioso utiliza el vaciado de procesos para descargar y ejecutar de forma sigilosa el payload final, Remcos RAT, otorgando a los atacantes control remoto sobre el sistema infectado.

El código malicioso mantiene la persistencia añadiendo un nuevo elemento de ejecución automática al registro del sistema.

El código malicioso descarga un archivo Remcos RAT cifrado desde un servidor remoto, utilizando API como InternetOpenA(), InternetOpenUrlA() e InternetReadFile() para facilitar la descarga. Después del descifrado, carga una versión sin archivos de Remcos RAT directamente en la memoria dentro del proceso actual (Vaccinerende.exe). El RAT se activa entonces en un nuevo subproceso llamando a la API no documentada NtCreateThreadEx(), lo que le permite ejecutarse de forma encubierta sin dejar rastro en el disco.

El RAT de Remcos permite a los operadores recopilar múltiples datos de los dispositivos infectados, incluidos los metadatos del sistema, y ejecutar comandos remotos. El malware admite múltiples comandos para llevar a cabo actividades maliciosas, como la recolección de archivos, la gestión de procesos y servicios, la edición del registro, la ejecución de scripts, la captura del portapapeles, la alteración del escritorio, la activación de la cámara y el micrófono, la descarga de más cargas útiles, la grabación de pantalla y la desactivación de la entrada del teclado o el ratón.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El informe de Fortinet también incluye indicadores de compromiso (IoC) para esta campaña.

Fuente
:
SecurityAffairs
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta