Detecção de Nova Atividade de Remcos RAT: Campanha de Phishing Espalha uma Nova Variante de Malware Sem Arquivos
Índice:
Pesquisadores de cibersegurança identificaram uma campanha adversária em andamento em campo, que utiliza uma conhecida vulnerabilidade RCE no Microsoft Office rastreada como CVE-2017-0199 explorada por um arquivo Excel malicioso usado como anexo de isca em e-mails de phishing. A campanha de phishing é projetada para distribuir uma nova versão fileless do notório Remcos RAT malware e tomar controle remoto total de um sistema alvo.
Detectar Remcos RAT
Phishing continua a ser um vetor de ataque líder, exibindo um aumento de 58,2% nos ataques de phishing em 2023 em comparação com o ano anterior, destacando a crescente sofisticação e alcance dos agentes de ameaça. A nova versão fileless do Remcos RAT espalhada por e-mails de phishing apresenta riscos crescentes para usuários do Windows, permitindo que adversários ganhem controle remoto total de um dispositivo comprometido, roubem dados sensíveis e realizem mais operações ofensivas. A Plataforma SOC Prime para defesa cibernética coletiva seleciona uma coleção inteira de algoritmos de detecção para ajudar as equipes de segurança a se defenderem proativamente contra ataques de phishing utilizando Remcos RAT.
Pressione Explorar Detecções para acessar detecções relevantes mapeadas para MITRE ATT&CK®, explorar CTI cafes
para investigações de ameaças simplificadas, e converter o código de forma automatizada em mais de 30 formatos de linguagem SIEM, EDR ou Data Lake suportados. Aplique a Pesquisa Leve para consultar mais de 12.000 rótulos de dados personalizados dentro do cloud hospedado localmente do SOC Prime, garantindo acesso totalmente transparente e privado aos dados e velocidade ultra-rápida para uma experiência de pesquisa simplificada.
Análise do Remcos RAT Fortinet’s FortiGuard Labs revelou recentemente
Remcos RAT é um malware comercial, que oferece aos compradores uma gama de ferramentas avançadas para gerenciar remotamente computadores sob seu controle. No entanto, cibercriminosos têm explorado o Remcos para roubar informações sensíveis das vítimas e manipular seus sistemas para fins maliciosos. Remcos RAT também tem sido utilizado em campanhas de phishing pelo grupo de hackers apoiado pela Rússia UAC-0050, visando principalmente órgãos estatais ucranianos. Por exemplo, ao longo de setembro e outubro de 2024, UAC-0050 conduziu pelo menos 30 tentativas para invadir computadores de contadores utilizando o malware REMCOS.
O fluxo de infecção é desencadeado por um e-mail de phishing contendo um arquivo Excel de isca anexado que se passa por um documento relacionado a pedidos. Este último explora uma conhecida vulnerabilidade RCE no Microsoft Office (CVE-2017-0199) para recuperar um arquivo HTA chamado “cookienetbookinetcahce.hta” de um servidor remoto. O arquivo HTA é executado no dispositivo comprometido usando a utilidade mshta.exe nativa do Windows. Notavelmente, o código do arquivo HTA é ofuscado através de múltiplas camadas usando várias linguagens de script e técnicas de codificação, para evadir a detecção e impedir a análise anti-malware.
O binário executa um script PowerShell ofuscado enquanto emprega técnicas anti-análise e anti-depuração para evitar a detecção. Os adversários empregam uma ampla gama de técnicas de evasão de detecção, como um manipulador de exceções vetorizado, APIs obtidas dinamicamente, valores constantes calculados e interceptação de API.
Uma vez que as defesas anti-análise são contornadas, o malware usa “process hollowing” para executar código malicioso diretamente na memória, dentro de um novo processo chamado “Vaccinerende.exe”, tornando o novo Remcos RAT uma variante sem arquivo.
Remcos RAT coleta metadados do sistema e executa comandos recebidos de seu servidor C2. Estes incluem roubo de arquivos, encerramento de processos, gerenciamento de serviços do sistema, modificação do Registro do Windows, execução de scripts, captura de dados da área de transferência, acesso à câmera e ao microfone, download de cargas úteis, gravação da tela e desativação de entradas de teclado ou mouse. O código malicioso modifica o registro do sistema para criar uma nova entrada de auto-execução, garantindo persistência e mantendo o controle do dispositivo da vítima mesmo após um reinício.
A nova variante sem arquivo do Remcos RAT, combinada com múltiplas técnicas de evasão de detecção, torna mais desafiador para os defensores identificar prontamente a atividade maliciosa. Ao confiar na suite completa de produtos da SOC Prime para engenharia de detecção alimentada por IA, caça a ameaças automatizada e detecção de ameaças avançada, as equipes de segurança podem acessar soluções de ponta para defesa proativa enquanto constroem uma postura de cibersegurança robusta para um amanhã seguro.
