Novo ataque usa arquivos de atalho do Windows para instalar o backdoor REMCOS

Uma nova e enganosa campanha de malware multiestágio foi identificada pela equipe de Inteligência de Ameaças Lat61 da empresa de segurança Point Wild. O ataque utiliza uma técnica inteligente envolvendo arquivos maliciosos de atalho do Windows, ou LNK, um simples ponteiro para um programa ou arquivo, para implantar um perigoso trojan de acesso remoto (RAT) conhecido como REMCOS .

A pesquisa , liderada pelo Dr. Zulfikar Ramzan, CTO da Point Wild, e compartilhada com Hackread.com, revela que a campanha começa com um arquivo de atalho aparentemente inofensivo, possivelmente anexado a um e-mail, com um nome de arquivo como “ ORDINE-DI-ACQUIST-7263535 ”.

Quando um usuário clica nele, o arquivo LNK executa discretamente um comando do PowerShell em segundo plano. Para sua informação, o PowerShell é uma poderosa ferramenta de linha de comando que o Windows utiliza para automação de tarefas; no entanto, neste ataque, ele é usado para baixar/decodificar uma carga oculta.

Este comando foi projetado para baixar e decodificar uma carga oculta sem disparar alertas de segurança, salvar arquivos ou usar macros. A pesquisa fornece hashes de arquivo específicos para este arquivo LNK, incluindo MD5: ae8066bd5a66ce22f6a91bd935d4eee6 , para auxiliar na detecção.

Esta campanha foi projetada para ser furtiva, utilizando diversas camadas de disfarce. Após a execução do comando inicial do PowerShell, ela busca um payload codificado em Base64 em um servidor remoto. Essa é uma maneira comum de ocultar código malicioso à vista de todos, já que Base64 é um método padrão para codificar dados binários em texto.

Após o download e a decodificação do payload, ele é iniciado como um Arquivo de Informações do Programa ou .PIF , um tipo de executável frequentemente usado em programas mais antigos. Os invasores disfarçaram esse arquivo como CHROME.PIF , imitando um programa legítimo.

Esta etapa final instala o backdoor REMCOS, dando aos invasores controle total do sistema comprometido. O malware também garante sua persistência no sistema criando um arquivo de log para o registro das teclas digitadas em uma nova pasta Remcos, no diretório %ProgramData% .

Uma vez instalado, o backdoor REMCOS concede aos invasores amplo controle sobre o computador da vítima. O relatório de inteligência de ameaças observa que ele pode realizar uma ampla gama de atividades maliciosas, incluindo keylogging para roubar senhas, criar um shell remoto para acesso direto e obter acesso a arquivos.

Além disso, o backdoor do REMCOS permite que os invasores controlem a webcam e o microfone do computador, possibilitando a espionagem do usuário. A pesquisa também revelou que a infraestrutura de comando e controle (C2) para esta campanha específica está hospedada na Romênia e nos EUA.

Essa descoberta destaca a necessidade de cautela, pois esses ataques podem se originar de qualquer lugar do mundo. Os pesquisadores recomendam que os usuários tenham cuidado com arquivos de atalho de fontes não confiáveis, verifiquem os anexos antes de abri-los e usem software antivírus atualizado com proteção em tempo real.