Cybercriminelen gebruiken Excel-exploit om bestandsloze Remcos RAT-malware te verspreiden

Cybersecurity-onderzoekers hebben een nieuwe phishing-campagne ontdekt die een nieuwe bestandsloze variant van bekende commerciële malware verspreidt, genaamd Remcos RAT.

Remcos RAT “biedt aankopen met een breed scala aan geavanceerde functies om computers van de koper op afstand te bedienen”, zei Fortinet FortiGuard Labs-onderzoeker Xiaopeng Zhang in een analyse die vorige week werd gepubliceerd.

“Dreigingsactoren hebben Remcos echter misbruikt om gevoelige informatie van slachtoffers te verzamelen en hun computers op afstand te besturen om verdere kwaadaardige handelingen uit te voeren.”

Het startpunt van de aanval is een phishing-e-mail waarin lokmiddelen met een inkooporderthema worden gebruikt om de ontvangers ervan te overtuigen een Microsoft Excel-bijlage te openen.

Het kwaadaardige Excel-document is ontworpen om een ​​bekende fout bij het uitvoeren van externe code in Office (CVE-2017-0199, CVSS-score: 7,8) te misbruiken om een ​​HTML-toepassingsbestand (HTA) (“cookienetbookinetcahce.hta”) te downloaden van een externe server (” 192.3.220(.)22″) en start het met mshta.exe.

Het HTA-bestand is op zijn beurt verpakt in meerdere lagen JavaScript, Visual Basic Script en PowerShell-code om detectie te omzeilen. De belangrijkste verantwoordelijkheid is het ophalen van een uitvoerbaar bestand van dezelfde server en het uitvoeren ervan.

Het binaire bestand gaat vervolgens verder met het uitvoeren van een ander versluierd PowerShell-programma, terwijl het ook een reeks anti-analyse- en anti-debugging-technieken gebruikt om detectie-inspanningen te bemoeilijken. In de volgende stap maakt de kwaadaardige code gebruik van procesuitholling om uiteindelijk Remcos RAT te downloaden en uit te voeren.

“In plaats van het Remcos-bestand op te slaan in een lokaal bestand en het uit te voeren, wordt Remcos rechtstreeks in het geheugen van het huidige proces geïmplementeerd”, aldus Zhang. “Het is met andere woorden een bestandsloze variant van Remcos.”

Remcos RAT is uitgerust om verschillende soorten informatie van de gecompromitteerde host te verzamelen, inclusief systeemmetagegevens, en kan instructies uitvoeren die op afstand door de aanvaller zijn uitgegeven via een command-and-control (C2)-server.

Met deze opdrachten kan het programma bestanden verzamelen, processen opsommen en beëindigen, systeemservices beheren, het Windows-register bewerken, opdrachten en scripts uitvoeren, de inhoud van het klembord vastleggen, de bureaubladachtergrond van een slachtoffer wijzigen, camera en microfoon inschakelen, extra payloads downloaden, het scherm opnemen, en schakel zelfs toetsenbord- of muisinvoer uit.

Remcos RAT-malware

De onthulling komt op het moment dat Wallarm onthulde dat bedreigingsactoren Docusign API’s misbruiken om valse facturen te verzenden die authentiek lijken, in een poging nietsvermoedende gebruikers te misleiden en op grote schaal phishing-campagnes uit te voeren.

De aanval omvat het aanmaken van een legitiem, betaald Docusign-account waarmee de aanvallers sjablonen kunnen wijzigen en de API rechtstreeks kunnen gebruiken. De accounts worden vervolgens gebruikt om speciaal vervaardigde factuursjablonen te maken die verzoeken nabootsen om documenten van bekende merken zoals Norton Antivirus elektronisch te ondertekenen.

“In tegenstelling tot traditionele phishing-scams die afhankelijk zijn van bedrieglijk vervaardigde e-mails en kwaadaardige links, maken deze incidenten gebruik van echte DocuSign-accounts en sjablonen om zich voor te doen als gerenommeerde bedrijven, waardoor gebruikers en beveiligingstools worden overrompeld”, aldus het bedrijf.

“Als gebruikers dit document elektronisch ondertekenen, kan de aanvaller het ondertekende document gebruiken om betaling aan te vragen bij de organisatie buiten DocuSign, of het ondertekende document via DocuSign naar de financiële afdeling sturen voor betaling.”

Er is ook waargenomen dat phishing-campagnes gebruik maken van een onconventionele tactiek, genaamd ZIP-bestandsaaneenschakeling, om beveiligingshulpmiddelen te omzeilen en trojaanse paarden voor externe toegang naar doelen te verspreiden.

De methode omvat het toevoegen van meerdere ZIP-archieven aan één enkel bestand, wat beveiligingsproblemen introduceert als gevolg van de discrepantie waarin verschillende programma’s zoals 7-Zip, WinRAR en de Windows File Explorer dergelijke bestanden uitpakken en parseren, wat resulteert in een scenario waarin kwaadaardige ladingen worden over het hoofd gezien.

“Door gebruik te maken van de verschillende manieren waarop ZIP-lezers en archiefbeheerders aaneengeschakelde ZIP-bestanden verwerken, kunnen aanvallers malware insluiten die zich specifiek richt op gebruikers van bepaalde tools”, aldus Perception Point in een recent rapport.

“Dreigingsactoren weten dat deze tools vaak de kwaadaardige inhoud die verborgen is in aaneengeschakelde archieven zullen missen of over het hoofd zullen zien, waardoor ze hun lading onopgemerkt kunnen leveren en zich kunnen richten op gebruikers die een specifiek programma gebruiken om met archieven te werken.”

De ontwikkeling komt ook doordat een bedreigingsacteur, bekend als Venture Wolf, in verband wordt gebracht met phishing-aanvallen gericht op de Russische productie-, bouw-, IT- en telecommunicatiesector met MetaStealer, een afsplitsing van de RedLine Stealer-malware.

Thijs Van der Does