Remcos: продвинутые методы обхода безопасности и маскировки
Вредоносное ПО Remcos сохраняет высокую активность и совершенствует методы обхода обнаружения
Недавние кибератаки с применением вредоносного ПО Remcos демонстрируют значительный уровень активности и адаптивности, позволяя злоумышленникам эффективно обходить современные механизмы обнаружения. Этот кейс подтверждает растущую сложность современных угроз и необходимость внимательного анализа каждой детали атак.
Методы распространения и маскировка вредоносных компонентов
Атаки обычно стартуют с рассылки фишинговых электронных писем, в которых находятся вредоносные вложения следующего типа:
- файлы быстрого доступа к Windows (LNK);
- скрипты;
- документы.
После открытия таких файлов программа загрузки Remcos незаметно разворачивается в системе, зачастую размещаясь в каталогах, которые имитируют легитимные системные папки Windows. Такая маскировка значительно облегчает сохранение долгосрочного контроля над заражённым устройством и позволяет выполнять вредоносные операции, включая кражу паролей и логирование нажатий клавиш (keylogging).
Технические особенности вредоносных файлов LNK и сценариев PowerShell
Для распространения используются скомпрометированные электронные почтовые аккаунты малых предприятий и образовательных учреждений. Вредоносные LNK-файлы часто упакованы в архивы. В них реализованы сложные методы обхода защиты, такие как префикс пути в пространстве имен NT — "?". Это позволяет создавать ложные имена каталогов, имитирующие системные пути, и обходить типичные ограничения безопасности при разборе путей.
Внутри файлов LNK находятся встроенные PowerShell-скрипты, которые закодированы случайным потоком данных. Такая особенность не только увеличивает размер файла, но и затрудняет попытки антивирусного обнаружения. Скрипт загружает .dat-файл в кодировке Base64, который при декодировании создаёт исполняемый файл с расширением .pif. Несмотря на расширение, этот файл, написанный с помощью компилятора Borland Delphi, маскируется под документ с иконкой PDF.
Дальнейшие стадии эксплуатации и обеспечение устойчивости
После запуска вредоносное ПО реплицируется и создает ярлык .URL, а также четыре сильно запутанных пакетных файла .cmd. Их задача — выполнять дополнительные вредоносные операции и обеспечивать сохраняемость внедрения.
- Для обфускации
.cmd-файлов используются нетрадиционные символы и бессмысленный текст, усложняющие анализ и препятствующие обнаружению антивирусными решениями. - Вредоносное ПО имитирует путь системного каталога
C:WindowsSysWOW64, добавляя пробелы в имя, что значительно повышает шансы остаться незамеченным.
Основной исполняемый файл внедряется в процесс SndVol.exe — легитимный процесс Windows, после чего устанавливает связь с сервером команд и управления (C2), размещённым на OVHcloud. Для коммуникации используется нетипичный порт — 32583.
Особенности поведения и управляемость вредоносного ПО
Remcos проверяет наличие интернет-соединения и анализирует языковые настройки системы, чтобы адаптировать свое поведение в зависимости от географического положения жертвы. Такая тактика повышает эффективность атак и снижает риск преждевременного обнаружения.
Рекомендации по защите
Вредоносное ПО Remcos служит примером того, насколько продуманными становятся современные угрозы, маскируясь под обычные системные процессы и каталоги.
Для защиты рекомендуется уделять особое внимание следующим аспектам:
- проверять наличие подозрительных ярлыков и необычных расширений файлов;
- следить за манипуляциями с путями и именами каталогов, особенно если они напоминают системные, но имеют незначительные отличия (например, добавленные пробелы);
- усиливать мониторинг сетевой активности по нетипичным портам;
- повышать осведомлённость сотрудников о рисках открытия вложений из непроверенных источников.
Только комплексный подход и своевременное реагирование помогут минимизировать риски, связанные с эксплойтами такого уровня сложности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
