Новая атака использует файлы ярлыков Windows для установки бэкдора REMCOS

Группа исследователей угроз Lat61 из компании Point Wild, специализирующейся на информационной безопасности, обнаружила новую многоэтапную вредоносную кампанию. Атака использует хитроумный метод, использующий вредоносные файлы Windows Shortcut (LNK), представляющие собой простые указатели на программы или файлы, для доставки опасного трояна удалённого доступа (RAT), известного как REMCOS .

Исследование , проведенное под руководством доктора Зульфикара Рамзана, технического директора Point Wild, и предоставленное Hackread.com, показывает, что кампания начинается с, казалось бы, безобидного файла-ярлыка, возможно, прикрепленного к электронному письму, с именем файла типа « ORDINE-DI-ACQUIST-7263535 ».

Когда пользователь нажимает на него, LNK-файл незаметно запускает команду PowerShell в фоновом режиме. К вашему сведению, PowerShell — это мощный инструмент командной строки, используемый Windows для автоматизации задач; однако в данной атаке он используется для загрузки/декодирования скрытой полезной нагрузки.

Эта команда предназначена для загрузки и декодирования скрытой полезной нагрузки без активации оповещений безопасности, сохранения файлов и использования макросов. В исследовании приведены конкретные хэши для этого LNK-файла, включая MD5: ae8066bd5a66ce22f6a91bd935d4eee6 , которые облегчают обнаружение.

Эта кампания разработана таким образом, чтобы быть незаметной благодаря использованию нескольких уровней маскировки. После выполнения первой команды PowerShell она извлекает полезную нагрузку, закодированную в формате Base64, с удаленного сервера. Это распространённый способ скрыть вредоносный код, поскольку Base64 — стандартный метод кодирования двоичных данных в текст.

После загрузки и декодирования вредоносной нагрузки она запускается как файл с информацией о программе (PIN-файл) или .PIF файл, который часто используется для старых программ. Злоумышленники замаскировали этот файл под CHROME.PIF , имитируя легитимную программу.

На этом последнем этапе устанавливается бэкдор REMCOS, предоставляя злоумышленникам полный контроль над скомпрометированной системой. Вредоносная программа также обеспечивает своё присутствие в системе, создавая файл журнала для записи нажатий клавиш в новой папке Remcos в каталоге %ProgramData% .

Рабочий процесс заражения (Источник: Point Wild)

После установки бэкдор REMCOS предоставляет злоумышленникам полный контроль над компьютером жертвы. В отчёте об угрозах безопасности отмечается, что он способен выполнять широкий спектр вредоносных действий, включая кейлоггерство для кражи паролей, создание удалённой оболочки для прямого доступа и получение доступа к файлам.

Кроме того, бэкдор REMCOS позволяет злоумышленникам управлять веб-камерой и микрофоном компьютера, что позволяет им шпионить за пользователем. Исследование также показало, что инфраструктура управления и контроля (C2) для этой конкретной кампании размещена в Румынии и США.

Это открытие подчёркивает необходимость проявлять осторожность, поскольку подобные атаки могут исходить из любой точки мира. Исследователи рекомендуют пользователям проявлять осторожность при использовании файлов-ярлыков из ненадёжных источников, дважды проверять вложения перед их открытием и использовать обновлённое антивирусное ПО с защитой в режиме реального времени.