Хакеры распространяют вредонос Remcos RAT среди пользователей Windows с помощью фишинга
Изображение: Clint Patterson (unsplash)
Пользователей Windows предупредили о распространении хакерами нового варианта вредоносного ПО Remcos RAT, с помощью которого злоумышленники могут получать полный контроль над пользовательским устройством. О выявлении новой киберпреступной активности сообщили представители лаборатории FortiGuard Labs компании Fortinet.
По словам экспертов по информационной безопасности из FortiGuard Labs, хакеры активно используют фишинговые рассылки по электронной почте. В каждом таком письме представлено вредоносное вложение — документ MS Excel, который используется злоумышленниками для доставки на пользовательское устройство вредоносного программного обеспечения.
В случае, если доверчивый пользователь откроет этот файл Excel, вредоносное ПО автоматически начнёт эксплуатацию уязвимости с идентификатором CVE-2017-0199. Благодаря этому вредонос дополнительно загружает на пользовательское устройство файл HTML Application (HTA). Файл HTA загружается с помощью mshta.exe, затем вызывает различные скрипты для загрузки исполняемого файла с именем «dllhost.exe». Этот файл, загруженный на устройство жертвы, позволяет установить Remcos RAT, за счёт чего киберпреступники удалённо управляют заражёнными системами.
Новый вариант троянца Remcos RAT использует несколько уровней обфускации, чтобы избежать обнаружения. Он оборачивает свой вредоносный код различными методами кодирования, включая JavaScript, VBScript и PowerShell, которые скрывают фактическую полезную нагрузку.
После запуска dllhost.exe он выполняет команды PowerShell для запуска дополнительных файлов, скрытых на устройстве жертвы, ещё больше внедряя вредоносную программу в систему. Сложность этого варианта повышается за счёт методов антианализа, которые скрывают его от программ безопасности и затрудняют обнаружение.
К таким методам антианализа относятся векторные обработчики исключений, динамическое извлечение API и закодированные константы, которые противостоят статическому анализу кода.
Вредоносная программа также использует технику, называемую «подмена процесса», перенося свой вредоносный код в приостановленный процесс, который кажется безвредным, но продолжает выполнять вредоносную программу в фоновом режиме.
