Недавно была обнаружена новая фишинговая кампания, в рамках которой распространяется файл Excel. Этот файл содержит безфайловую версию вредоносной программы Remcos RAT.
Злоумышленники используют Remcos для кражи конфиденциальной информации с целевых устройств, подменяя легитимное программное обеспечение для работы с электронными таблицами. Исследователи из Fortinet выявили, что злоумышленники рассылают фишинговые письма с темой «заказ на покупку». К письму прикрепляется файл Microsoft Excel, который эксплуатирует уязвимость в Office (CVE-2017-0199). При запуске этот файл загружает HTML-приложение (HTA) с удаленного сервера и запускает его через mshta.exe.
Загруженный файл получает второй полезный груз с того же сервера, выполняет начальную проверку и антиотладку, после чего загружает и запускает Remcos RAT.
Ранее Remcos считался легитимным программным обеспечением для удалённого администрирования. Однако, как и в случае с Cobalt Strike, он был захвачен киберпреступниками и теперь используется для несанкционированного доступа, кражи данных и шпионажа. Remcos способен регистрировать нажатия клавиш, делать снимки экрана и выполнять команды на заражённых системах.
Эта версия Remcos загружается непосредственно в память устройства: «Вместо сохранения файла на локальном устройстве и его запуска, он напрямую внедряется в память текущего процесса», — пояснили в Fortinet. «Другими словами, это безфайловый вариант Remcos.»
Фишинг через электронную почту по-прежнему остаётся одним из самых популярных способов заражения устройств вредоносным ПО и кражи конфиденциальной информации. Такие атаки дешевы в исполнении и эффективны, что делает их очень привлекательными для злоумышленников. Наилучший способ защититься от фишинга — быть внимательным при чтении почты и крайне осторожным при открытии вложений.
Источник: TechRadar
