Cybersecurity-onderzoekers hebben licht geworpen op een nieuwe malware-campagne die gebruik maakt van een PowerShell-gebaseerde ShellCode-lader om een Trojan op afstand te implementeren genaamd Remcos Rat.
“Dreigingsactoren hebben kwaadaardige LNK -bestanden afgeleverd die zijn ingebed in zip -archieven, vaak vermomd als kantoordocumenten,” zei Qualys Security Researcher Akshay Thorve in een technisch rapport. “De aanvalsketen maakt gebruik van MSHTA.exe voor proxy -uitvoering tijdens de beginfase.”
De nieuwste golf van aanvallen, zoals gedetailleerd door Qualys, gebruikt belastinggerelateerde kunstaas om gebruikers te lokken om een kwaadaardig ziparchief te openen met een Windows Shortcut (LNK) -bestand, dat op zijn beurt gebruik maakt van MSHTA.exe, een legitiem Microsoft-tool dat wordt gebruikt om HTML-applicaties (HTA) te gebruiken.
Het binair wordt gebruikt om een obfusced HTA -bestand met de naam “XLAB22.HTA” uit te voeren die op een externe server is gehost, met Visual Basic Script Code om een PowerShell -script te downloaden, een Decoy PDF en een ander HTA -bestand vergelijkbaar met XLAB22.HTA genaamd “311.hta.” Het HTA -bestand is ook geconfigureerd om Windows -registeraanpassingen aan te brengen om ervoor te zorgen dat “311.hta” automatisch wordt gestart bij het opstarten van het systeem.
Zodra het PowerShell -script is uitgevoerd, decodeert en reconstrueert het een ShellCode -lader die uiteindelijk de REMCOS -rattenpayload volledig in het geheugen lanceert.
Remcos Rat is een bekende malware die dreigingsacteurs volledige controle biedt over gecompromitteerde systemen, waardoor het een ideaal hulpmiddel is voor cyberspionage en gegevensdiefstal. Een 32-bit binair gecompileerd met Visual Studio C ++ 8, het heeft een modulaire structuur en kan systeemmetagegevens, log-toetsaanslagen, het vastleggen van screenshots, monitorklembordgegevens verzamelen en een lijst met alle geïnstalleerde programma’s en uitvoeringsprocessen ophalen.
Bovendien legt het een TLS-verbinding tot stand met een command-and-control (C2) -server op “ReadySteAurants (.) Com”, het handhaven van een persistent kanaal voor data-exfiltratie en -controle.
Dit is niet de eerste keer dat Fileless -versies van Remcos Rat in het wild zijn gezien. In november 2024 beschreef Fortinet Fortiguard Labs een phishing-campagne die de malware bevolking heeft ingezet door gebruik te maken van kunstaas met orderthema.
Wat de aanvalsmethode aantrekkelijk maakt voor dreigingsacteurs, is dat het hen in staat stelt om door veel traditionele beveiligingsoplossingen onopgemerkt te werken, omdat de kwaadaardige code rechtstreeks in het geheugen van de computer loopt, waardoor zeer weinig sporen op de schijf achterblijven.
“De opkomst van op Powershell gebaseerde aanvallen zoals de nieuwe Remcos Rat-variant laat zien hoe dreigingsacteurs evolueren om traditionele beveiligingsmaatregelen te ontwijken,” zei J Stephen Kowski, Field CTO bij Slashnext.
“Deze Fileless Malware werkt rechtstreeks in het geheugen, met behulp van LNK-bestanden en MSHTA.exe om obfuscated PowerShell-scripts uit te voeren die conventionele verdedigingen kunnen omzeilen. Geavanceerde e-mailbeveiliging die kan detecteren en kwalificeer LNK-bijlagen kunnen detecteren en blokkeren voordat ze gebruikers bereiken, is cruciaal, evenals realtime scannen van Powershell-commando’s voor verdachte gedragingen.”
De openbaarmaking komt als Palo Alto Networks Unit 42 en Threatray gedetailleerd een nieuwe .NET -lader die wordt gebruikt om een breed scala aan grondstoffeninformatie -stalers en ratten zoals Agent Tesla, Novastealer, Remcos Rat, VipkeyLogger, Xloader en Xworm te ontploffen.
De lader beschikt over drie fasen die samenwerken om de laatste fase payload te implementeren: A .NET uitvoerbare bestand die de tweede en derde fasen in gecodeerde vorm insluit, een .NET DLL die de decodeert en de volgende fase laadt, en een .NET DLL die de implementatie van de hoofdmalware beheert.
“Terwijl eerdere versies de tweede fase hebben ingebed als een hardcode string, gebruiken recentere versies een bitmap -bron,” zei Threattray. “De eerste fase haalt deze gegevens uit en decodeert en voert deze vervolgens uit in het geheugen om de tweede fase te starten.”
Unit 42 beschreef het gebruik van bitmap -bronnen om kwaadaardige payloads AA Steganography Techniek te verbergen die traditionele beveiligingsmechanismen kan omzeilen en detectie kan ontwijken.
De bevindingen vallen ook samen met de opkomst van verschillende phishing- en sociale engineeringcampagnes die zijn ontworpen voor diefstal van diefstal en malware -levering –
- Gebruik van Trojanised -versies van de Keepass -wachtwoordbeheersoftware – Codenaam Keeloader – om een kobaltstaking baken te laten vallen en gevoelige Keepass -databasegegevens te stelen, inclusief administratieve referenties. De kwaadaardige installateurs worden gehost op Keepass Typosquat -domeinen die worden geserveerd via Bing -advertenties.
- Gebruik van ClickFix -kunstaas en URL’s ingebed in PDF -documenten en een reeks intermediaire druppel -URL’s om Lumma Stealer te implementeren.
- Gebruik van booby-ingepakte Microsoft Office-documenten die worden gebruikt om de formulierinformatie-stealer te implementeren die wordt beschermd met behulp van een malwaredistributieservice die Horus Protector wordt genoemd.
- Het gebruik van Blob Uris om lokaal een referentiepagina te laden via phishing-e-mails, waarbij de Blob uris wordt geserveerd met behulp van toegestane pagina’s (bijv. OneDrive.Live (.) Com) die worden misbruikt om slachtoffers door te sturen naar een kwaadaardige site die een link naar een dreigingsacteur-gecontroleerde HTML-pagina bevat.
- Het gebruik van RAR -archieven die zich voordoen als installatiebestanden om NetSupport -rat te distribueren in aanvallen op Oekraïne en Polen.
- Gebruik van phishing -e -mails om HTML -bijlagen te distribueren die kwaadaardige code bevatten om de vooruitzichten, hotmail en gmail -referenties van slachtoffers vast te leggen en deze te exfiltreren naar een telegrambot met de naam “gezegende logboeken” die sinds februari 2025 actief is
De ontwikkelingen zijn ook aangevuld met de opkomst van campagnes met kunstmatige intelligentie (AI) die gebruik maken van polymorfe trucs die in realtime muteren om detectie-inspanningen te omzeilen. Deze omvatten het wijzigen van e-mailonderwerpen, afzendernamen en lichaamsinhoud om voorbij handtekening gebaseerde detectie te glijden.
“AI gaf dreigingsactoren de macht om malware -ontwikkeling, schaalaanvallen in industrieën te automatiseren en phishing -berichten te personaliseren met chirurgische precisie,” zei Cofense.
“Deze evoluerende bedreigingen zijn in toenemende mate in staat om traditionele e-mailfilters te omzeilen, wat het falen van alleen-perimeter-verdedigingsafweer en de noodzaak van detectie na aflevering benadrukt. Het stelde hen ook in staat om traditionele verdedigingen te overtreffen door polymorfe phishing-campagnes die in de vlieg worden verplaatst.
