Detección de Nueva Actividad de Remcos RAT: Campaña de Phishing Distribuye una Variante Novel de Malware Sin Archivo

Tabla de contenidos:
Los investigadores de ciberseguridad han identificado una campaña adversaria en curso en estado salvaje, que aprovecha una vulnerabilidad RCE conocida en Microsoft Office rastreada como CVE-2017-0199 explotada por un archivo de Excel malicioso utilizado como archivo adjunto señuelo en correos electrónicos de phishing. La campaña de phishing está diseñada para distribuir una nueva versión sin archivo del notorio Remcos RAT malware y tomar el control remoto completo de un sistema objetivo.
Detectar Remcos RAT
El phishing sigue siendo un vector de ataque líder, mostrando un aumento del 58,2% en los ataques de phishing en 2023 en comparación con el año anterior, subrayando la creciente sofisticación y alcance de los actores de amenazas. La nueva versión sin archivo de Remcos RAT propagada a través de correos electrónicos de phishing plantea riesgos crecientes para los usuarios de Windows al permitir a los adversarios obtener el control remoto completo de un dispositivo comprometido, robar datos sensibles y realizar más operaciones ofensivas. La plataforma SOC Prime para la defensa cibernética colectiva cura una colección completa de algoritmos de detección para ayudar a los equipos de seguridad a defenderse proactivamente contra los ataques de phishing que aprovechan Remcos RAT.
Presionar Explorar Detecciones para acceder a detecciones relevantes mapeadas a MITRE ATT&CK®, explorar CTI personalizadas para una investigación de amenazas optimizada, y convertir el código de manera automatizada en más de 30 formatos de lenguaje compatibles de SIEM, EDR o Data Lake en uso. Aplique la Búsqueda Ligera para consultar más de 12,000 etiquetas de datos personalizadas dentro de la nube alojada localmente de SOC Prime asegurando acceso plenamente transparente, privado, y una velocidad ultra rápida para una experiencia de búsqueda fluida.
Análisis de Remcos RAT
Los Laboratorios FortiGuard de Fortinet han descubierto recientemente una campaña de phishing dirigida a usuarios de Windows y que propaga una nueva iteración de malware Remcos RAT sin archivo.
Remcos RAT es malware comercial que ofrece a los compradores una gama de herramientas avanzadas para gestionar de forma remota las computadoras bajo su control. Sin embargo, los ciberdelincuentes han explotado Remcos para robar información sensible de las víctimas y manipular sus sistemas con fines malintencionados. Remcos RAT también ha sido utilizado en campañas de phishing por el grupo de hackers respaldado por Rusia UAC-0050, dirigido principalmente a organismos estatales ucranianos. Por ejemplo, durante septiembre y octubre de 2024, UAC-0050 llevó a cabo al menos 30 intentos de invadir las computadoras de contadores utilizando el malware REMCOS.
El flujo de infección se desencadena por un correo electrónico de phishing que contiene un archivo señuelo de Excel de Microsoft adjunto que se hace pasar por un documento relacionado con órdenes. Este último explota una vulnerabilidad RCE conocida de Microsoft Office en Office (CVE-2017-0199) para recuperar un archivo HTA llamado «cookienetbookinetcahce.hta» desde un servidor remoto. El archivo HTA se ejecuta adicionalmente en el dispositivo comprometido utilizando la utilidad nativa de Windows mshta.exe. Notablemente, el código del archivo HTA está ofuscado a través de múltiples capas utilizando varios lenguajes de scripting y técnicas de codificación para evadir la detección y dificultar el análisis anti-malware.
El binario ejecuta un script PowerShell ofuscado mientras emplea técnicas antianálisis y antidepuración para eludir la detección. Los adversarios emplean una amplia gama de técnicas de evasión de detección, como un manejador de excepciones vectorizado, APIs obtenidos dinámicamente, valores constantes calculados y hooking de API.
Una vez que se superan las defensas antianálisis, el malware utiliza el vaciado de procesos para ejecutar el código malicioso directamente en la memoria, dentro de un nuevo proceso llamado «Vaccinerende.exe,» convirtiendo al nuevo Remcos RAT en una variante sin archivo.
Remcos RAT recoge metadatos del sistema y ejecuta comandos recibidos de su servidor C2. Estos incluyen robar archivos, terminar procesos, gestionar servicios del sistema, modificar el Registro de Windows, ejecutar scripts, capturar datos del portapapeles, acceder a la cámara y el micrófono, descargar cargas útiles, grabar la pantalla y desactivar la entrada de teclado o ratón. El código malicioso modifica el registro del sistema para crear una nueva entrada de autoejecución, asegurando la persistencia y manteniendo el control del dispositivo de la víctima incluso después de un reinicio.
La nueva variante sin archivo de Remcos RAT, combinada con múltiples técnicas de evasión de detección, hace que sea más desafiante para los defensores identificar rápidamente la actividad maliciosa. Al confiar en la suite completa de productos de SOC Prime para ingeniería de detección impulsada por IA, caza de amenazas automatizada y detección avanzada de amenazas, los equipos de seguridad pueden acceder a soluciones de vanguardia para una defensa proactiva mientras construyen una postura de ciberseguridad robusta para un mañana seguro.