Peneliti keamanan siber telah menemukan kampanye phishing baru yang menyebarkan varian malware komersial baru tanpa file yang disebut Remcos RAT.
Remcos RAT “menyediakan pembelian dengan berbagai fitur canggih untuk mengontrol komputer milik pembeli dari jarak jauh,” kata peneliti Fortinet FortiGuard Labs, Xiaopeng Zhang dalam analisis yang diterbitkan pekan lalu.
Namun, pelaku ancaman telah menyalahgunakan Remcos untuk mengumpulkan informasi sensitif dari korban dan mengendalikan komputer mereka dari jarak jauh untuk melakukan tindakan jahat lebih lanjut.
Titik awal serangan adalah email phishing yang menggunakan umpan bertema pesanan pembelian untuk meyakinkan penerima agar membuka lampiran Microsoft Excel.
Dokumen Excel berbahaya ini dirancang untuk mengeksploitasi kelemahan eksekusi kode jarak jauh yang diketahui di Office (CVE-2017-0199, skor CVSS: 7.8) untuk mengunduh file Aplikasi HTML (HTA) (“cookienetbookinetcahce.hta”) dari server jarak jauh (” 192.3.220[.]22″) dan luncurkan menggunakan mshta.exe.
File HTA, pada bagiannya, dibungkus dalam beberapa lapisan JavaScript, Visual Basic Script, dan kode PowerShell untuk menghindari deteksi. Tanggung jawab utamanya adalah mengambil file yang dapat dieksekusi dari server yang sama dan menjalankannya.
Biner tersebut selanjutnya menjalankan program PowerShell lain yang dikaburkan, sekaligus mengadopsi serangkaian teknik anti-analisis dan anti-debugging untuk mempersulit upaya deteksi. Pada langkah selanjutnya, kode berbahaya memanfaatkan proses pengosongan untuk akhirnya mengunduh dan menjalankan Remcos RAT.
“Daripada menyimpan file Remcos ke dalam file lokal dan menjalankannya, ia langsung menyebarkan Remcos di memori proses saat ini,” kata Zhang. “Dengan kata lain, ini adalah varian Remcos tanpa file.”
Remcos RAT dilengkapi untuk mengumpulkan berbagai jenis informasi dari host yang disusupi, termasuk metadata sistem, dan dapat mengeksekusi instruksi jarak jauh yang dikeluarkan oleh penyerang melalui server perintah dan kontrol (C2).
Perintah-perintah ini memungkinkan program untuk mengambil file, menghitung dan menghentikan proses, mengelola layanan sistem, mengedit Windows Registry, menjalankan perintah dan skrip, menangkap konten clipboard, mengubah wallpaper desktop korban, mengaktifkan kamera dan mikrofon, mengunduh muatan tambahan, merekam layar, dan bahkan menonaktifkan input keyboard atau mouse.
Pengungkapan ini terjadi ketika Wallarm mengungkapkan bahwa pelaku ancaman menyalahgunakan Docusign API untuk mengirimkan faktur palsu yang tampak asli dalam upaya menipu pengguna yang tidak menaruh curiga dan melakukan kampanye phishing dalam skala besar.
Serangan tersebut memerlukan pembuatan akun Docusign berbayar yang sah yang memungkinkan penyerang mengubah templat dan menggunakan API secara langsung. Akun tersebut kemudian digunakan untuk membuat templat faktur yang dibuat khusus yang meniru permintaan untuk menandatangani dokumen secara elektronik dari merek terkenal seperti Norton Antivirus.
“Tidak seperti penipuan phishing tradisional yang mengandalkan email palsu dan tautan berbahaya, insiden ini menggunakan akun dan templat DocuSign asli untuk menyamar sebagai perusahaan terkemuka, sehingga membuat pengguna dan alat keamanan lengah,” kata perusahaan itu.
“Jika pengguna menandatangani dokumen ini secara elektronik, penyerang dapat menggunakan dokumen yang ditandatangani untuk meminta pembayaran dari organisasi di luar DocuSign atau mengirim dokumen yang ditandatangani melalui DocuSign ke departemen keuangan untuk pembayaran.”
Kampanye phishing juga terlihat memanfaatkan taktik tidak konvensional yang disebut penggabungan file ZIP untuk melewati alat keamanan dan mendistribusikan trojan akses jarak jauh ke target.
Metode ini melibatkan penambahan beberapa arsip ZIP ke dalam satu file, yang menimbulkan masalah keamanan karena perbedaan di mana program yang berbeda seperti 7-Zip, WinRAR, dan Windows File Explorer membongkar dan mengurai file tersebut, sehingga mengakibatkan skenario muatan berbahaya. diabaikan.
“Dengan mengeksploitasi berbagai cara pembaca ZIP dan pengelola arsip memproses file ZIP gabungan, penyerang dapat menanamkan malware yang secara khusus menargetkan pengguna alat tertentu,” kata Perception Point dalam laporan terbarunya.
“Para pelaku ancaman mengetahui bahwa alat-alat ini sering kali melewatkan atau mengabaikan konten berbahaya yang tersembunyi di dalam arsip-arsip yang digabungkan, sehingga memungkinkan mereka untuk mengirimkan muatan mereka tanpa terdeteksi dan menargetkan pengguna yang menggunakan program tertentu untuk bekerja dengan arsip.”
Perkembangan ini juga terjadi ketika aktor ancaman yang dikenal sebagai Venture Wolf telah dikaitkan dengan serangan phishing yang menargetkan sektor manufaktur, konstruksi, TI, dan telekomunikasi Rusia dengan MetaStealer, yang merupakan cabang dari malware RedLine Stealer.