محققان امنیت سایبری یک کمپین فیشینگ جدید کشف کردهاند که نوع جدیدی از بدافزار تجاری شناختهشده بدون فایل را به نام Remcos RAT گسترش میدهد[۱].
Xiaopeng Zhang، محقق Fortinet FortiGuard Labs، در تحلیلی که هفته گذشته منتشر شد، گفت[۲]: Remcos RAT “خریدها را با طیف گستردهای از ویژگیهای پیشرفته برای کنترل از راه دور رایانههای متعلق به خریدار فراهم میکند.”
بااینحال، عوامل تهدید از Remcos برای جمعآوری اطلاعات حساس از قربانیان و کنترل از راه دور رایانههای آنها برای انجام اقدامات مخرب بیشتر سوءاستفاده کردهاند.
نقطه شروع حمله یک ایمیل فیشینگ است که از فریبهایی با موضوع سفارش خرید استفاده میکند تا گیرندگان را متقاعد کند که پیوست Microsoft Excel را باز کنند.
سند مخرب اکسل برای بهرهبرداری از یک نقص شناختهشده اجرای کد از راه دور در آفیس[۳] (CVE-2017-0199، امتیاز ۷٫۸ در مقیاس CVSS) برای دانلود یک فایل برنامه HTML (HTA) (“cookienetbookinetcahce.hta”) از یک سرور راه دور طراحی شده است (” ۱۹۲٫۳٫۲۲۰[.]۲۲″) و با استفاده از mshta.exe راهاندازی میشود.
فایل HTA بهنوبه خود در چندین لایه جاوا اسکریپت، ویژوالبیسیک اسکریپت و کد پاورشل پیچیده شده است تا از شناسایی جلوگیری شود. وظیفه اصلی آن بازیابی یک فایل اجرایی از همان سرور و اجرای آن است.
باینری متعاقباً به اجرای یک برنامه مبهم PowerShell دیگر ادامه میدهد، درحالیکه مجموعهای از تکنیکهای ضد تجزیهوتحلیل و ضد اشکالزدایی را برای پیچیدهتر کردن تلاشهای تشخیص به کار میگیرد. در مرحله بعدی، کد مخرب از فرآیند حفره استفاده میکند تا درنهایت Remcos RAT را دانلود و اجرا کند.
Zhang گفت: “بهجای ذخیره فایل Remcos در یک فایل محلی و اجرای آن، Remcos را مستقیماً در حافظه فرآیند فعلی مستقر میکند.” بهعبارتدیگر، این یک نوع بدون فایل از Remcos است.
Remcos RAT برای جمعآوری انواع مختلف اطلاعات از میزبان در معرض خطر، ازجمله ابر دادههای سیستم، مجهز است و میتواند دستورالعملهای صادرشده توسط مهاجم را از راه دور از طریق یک سرور فرمان و کنترل (C2) اجرا کند.
این دستورات به برنامه اجازه میدهد فایلها را جمعآوری کند، پردازشها را شمارش و خاتمه دهد، خدمات سیستم را مدیریت کند، رجیستری ویندوز را ویرایش کند، دستورات و اسکریپتها را اجرا کند، محتوای کلیپبورد را ضبط کند، تصویر زمینه دسکتاپ قربانی را تغییر دهد، دوربین و میکروفون را فعال کند، بارهای اضافی را دانلود کند، صفحهنمایش را ضبط کند و حتی ورودی صفحهکلید یا ماوس را غیرفعال کند.
این افشاگری زمانی صورت میگیرد که Wallarm فاش کرده است که عوامل تهدید از APIهای [۴]Docusign برای ارسال صورتحسابهای جعلی که معتبر به نظر میرسند در تلاش برای فریب کاربران ناآگاه و اجرای کمپینهای فیشینگ در مقیاس بزرگ سوءاستفاده میکنند.
این حمله مستلزم ایجاد یک حساب قانونی و پولی Docusign است که مهاجمان را قادر میسازد الگوها را تغییر دهند و مستقیماً از API استفاده کنند. این حسابها سپس برای ایجاد قالبهای صورتحساب ساختهشده ویژه استفاده میشوند که درخواستهایی را برای اسناد امضای الکترونیکی از مارکهای معروف مانند Norton Antivirus تقلید میکنند.
این شرکت گفت[۵]: «برخلاف کلاهبرداریهای فیشینگ سنتی که به ایمیلهای فریبنده و لینکهای مخرب متکی هستند، این حوادث از حسابها و قالبهای واقعی DocuSign برای جعل هویت شرکتهای معتبر استفاده میکنند و کاربران و ابزارهای امنیتی را غافلگیر میکنند.»
“اگر کاربران این سند را بهصورت الکترونیکی امضا کنند، مهاجم میتواند از سند امضاشده برای درخواست پرداخت از سازمان خارج از DocuSign استفاده کند یا سند امضاشده را از طریق DocuSign برای پرداخت به بخش مالی ارسال کند.”
همچنین مشاهده شده است که کمپینهای فیشینگ از یک تاکتیک غیرمتعارف به نام الحاق فایل ZIP برای دور زدن ابزارهای امنیتی و توزیع تروجانهای دسترسی از راه دور بین اهداف استفاده میکنند.
این روش شامل ضمیمه کردن چندین آرشیو ZIP به یک فایل واحد است که مشکلات امنیتی را به دلیل عدم تطابق برنامههای مختلف مانند ۷-Zip، WinRAR و Windows File Explorer اینگونه فایلها را باز کرده و تجزیه میکند، درنتیجه منجر به سناریویی میشود که در آن بارهای مخرب ایجاد میشود.
Perception Point در گزارش اخیر خود خاطرنشان کرد[۶]: «با بهرهبرداری از روشهای مختلف خوانندگان ZIP و مدیران بایگانی فایلهای ZIP بههمپیوسته را پردازش میکنند و مهاجمان میتوانند بدافزاری را جاسازی کنند که بهطور خاص کاربران ابزارهای خاصی را هدف قرار میدهد.»
عاملان تهدید میدانند که این ابزارها اغلب محتوای مخرب پنهانشده در بایگانیهای بههمپیوسته را از دست میدهند یا نادیده میگیرند و به آنها اجازه میدهند تا محمولههای خود را شناسایی نشده تحویل دهند و کاربرانی را که از یک برنامه خاص برای کار با آرشیو استفاده میکنند، هدف قرار دهند.»
این توسعه همچنین زمانی انجام میشود که یک عامل تهدید به نام Venture Wolf با حملات فیشینگ که بخشهای تولید، ساختوساز، فناوری اطلاعات و ارتباطات روسیه را هدف قرار میدهند، با [۷]MetaStealer، یک شاخه بدافزار RedLine Stealer مرتبط است[۸].
منابع
[۱] https://thehackernews.com/2024/01/remcos-rat-spreading-through-adult.html
[۲] https://www.fortinet.com/blog/threat-research/new-campaign-uses-remcos-rat-to-exploit-victims
[۳] https://nvd.nist.gov/vuln/detail/cve-2017-0199
[۴] https://community.docusign.com/esignature-111/phishing-emails-from-docusign-net-domain-4174
[۵] https://lab.wallarm.com/attackers-abuse-docusign-api-to-send-authentic-looking-invoices-at-scale
[۶] https://perception-point.io/blog/evasive-concatenated-zip-trojan-targets-windows-users
[۷] https://thehackernews.com/2024/10/dutch-police-disrupt-major-info.html
[۸] https://bi.zone/eng/expertise/blog/venture-wolf-ispolzuet-metastealer-v-atakakh-na-rossiyskie-kompanii
[۹] https://thehackernews.com/2024/11/cybercriminals-use-excel-exploit-to.html
ثبت ديدگاه