Malver, koji se isporučuje putem pshishing emailova i priloga u emailovima, omogućava napadačima da daljinski kontrolišu zaražene uređaje, kradu podatke i vrše špijunažu.
Istraživači u McAfee Labsu su analizirali dve različite varijante Remcos RAT-a, od kojih svaka koristi jedinstvene metode za isporuku i izvršenje.
Prva varijanta koristi PowerShell skriptu koju pokreće VBS fajl. Ova skripta preuzima nekoliko fajlova sa servera za komandu i kontrolu (C2) i ubacuje zlonamerni kod u RegAsm.exe, legitimni Microsoft.NET izvršni fajl. Koristeći višeslojno maskiranje koda, ova varijanta malvera izbegava otkrivanje oponašajući legitimne sistemske putanje i direktorijume.
Druga varijanta se širi putem spam emailova koji sadrže zlonamerne Microsoft Office Open XML (DOCX) priloge. Ovi fajlovi iskorišćavaju ranjivost CVE-2017-11882, a nakon izvršenja, ugrađena skripta preuzima dodatne fajlove, što na kraju dovodi do instalacije Remcos RAT-a.
Obe varijante uspešno zaobilaze tradicionalne sisteme za detekciju.
McAfee Labs je objavio indikatore kompromisa (IOC) za ove varijante, uključujući hešove fajlova i URL-ove, kako bi pomogao u otkrivanju pretnji.
Da bi se izbegla infekcija, od ključne je važnosti održavanje sistema ažuriranim, korišćenje višeslojnih bezbednosnih mera za otkrivanje i neutralisanje malvera i edukacija korisnika o prepoznavanju i izbegavanju phishing taktika sajber kriminalaca koji stoje iza napada malverom Remcos.
Autor: Marija Radić