Peneliti cybersecurity telah menjelaskan kampanye malware baru yang memanfaatkan loader shellcode berbasis PowerShell untuk menggunakan Trojan akses jarak jauh yang disebut Remcos Rat.
“Aktor ancaman mengirimkan file LNK berbahaya yang tertanam dalam arsip ZIP, sering menyamar sebagai dokumen kantor,” kata peneliti keamanan Qualys Akshay Thorve dalam sebuah laporan teknis. “Rantai serangan memanfaatkan mshta.exe untuk eksekusi proxy selama tahap awal.”
Gelombang serangan terbaru, sebagaimana dirinci oleh Qualys, menggunakan umpan terkait pajak untuk memikat pengguna agar membuka arsip zip berbahaya yang berisi file jalan pintas Windows (LNK), yang, pada gilirannya, memanfaatkan MSHTA.exe, alat Microsoft yang sah yang digunakan untuk menjalankan aplikasi HTML (HTA).
Biner digunakan untuk menjalankan file HTA yang dikaburkan bernama “xlab22.hta” yang di -host di server jarak jauh, yang menggabungkan kode skrip dasar visual untuk mengunduh skrip PowerShell, umpan PDF, dan file HTA lain yang mirip dengan XLAB22.HTA yang disebut “311.hta.” File HTA juga dikonfigurasi untuk membuat modifikasi Registry Windows untuk memastikan bahwa “311.hta” secara otomatis diluncurkan pada saat startup sistem.
Setelah skrip PowerShell dieksekusi, ia mendekode dan merekonstruksi loader shellcode yang pada akhirnya melanjutkan untuk meluncurkan muatan REMCOS tikus sepenuhnya dalam memori.
Remcos Rat adalah malware terkenal yang menawarkan kontrol penuh aktor atas sistem yang dikompromikan, menjadikannya alat yang ideal untuk spionase cyber dan pencurian data. Binary 32-bit yang dikompilasi menggunakan Visual Studio C ++ 8, fitur struktur modular dan dapat mengumpulkan metadata sistem, penekanan tombol log, tangkapan layar menangkap, memantau data papan clip, dan mengambil daftar semua program yang diinstal dan proses berjalan.
Selain itu, ia membuat koneksi TLS ke server perintah-dan-kontrol (C2) di “ReadySteaurants[.]com, “Memelihara saluran persisten untuk exfiltrasi dan kontrol data.
Ini bukan pertama kalinya versi REMCOS tikus tidak terlihat di alam liar. Pada bulan November 2024, Fortinet Fortiguard Labs merinci kampanye phishing yang tanpa filless menggunakan malware dengan memanfaatkan umpan bertema pesanan.
Apa yang membuat metode serangan menarik bagi para aktor yang mengancam adalah memungkinkan mereka untuk beroperasi tanpa terdeteksi oleh banyak solusi keamanan tradisional karena kode berbahaya berjalan langsung dalam memori komputer, meninggalkan sangat sedikit jejak pada disk.
“Munculnya serangan berbasis PowerShell seperti varian RID RID baru menunjukkan bagaimana aktor ancaman berkembang untuk menghindari langkah-langkah keamanan tradisional,” J Stephen Kowski, Field CTO di Slashnext, mengatakan.
“Malware tanpa fileless ini beroperasi langsung dalam memori, menggunakan file LNK dan mshta.exe untuk menjalankan skrip PowerShell yang dikalahkan yang dapat melewati pertahanan konvensional. Keamanan email tingkat lanjut yang dapat mendeteksi dan memblokir lampiran LNK berbahaya sebelum mereka mencapai pengguna sangat penting, seperti pemindaian real-time dari perintah Powershell untuk perilaku yang mencurigakan.
Pengungkapan ini datang sebagai Palo Alto Networks Unit 42 dan Threatray merinci pemuat .NET baru yang digunakan untuk meledakkan berbagai pencuri informasi komoditas dan tikus seperti Agen Tesla, Novastealer, Remcos Rat, Vipkeylogger, Xloader, dan Xworm.
Loader memiliki tiga tahap yang bekerja bersama-sama untuk menggunakan muatan tahap akhir: .NET yang dapat dieksekusi yang menanamkan tahap kedua dan ketiga dalam bentuk terenkripsi, .NET DLL yang mendekripsi dan memuat tahap berikutnya, dan .NET DLL yang mengelola penempatan malware utama.
“Sementara versi sebelumnya menanamkan tahap kedua sebagai string hardcoded, versi yang lebih baru menggunakan sumber daya bitmap,” kata Threatray. “Tahap pertama mengekstrak dan mendekripsi data ini, kemudian menjalankannya dalam memori untuk meluncurkan tahap kedua.”
Unit 42 menggambarkan penggunaan sumber daya bitmap untuk menyembunyikan muatan jahat AA steganografi yang dapat memotong mekanisme keamanan tradisional dan menghindari deteksi.
Temuan ini juga bertepatan dengan munculnya beberapa kampanye phishing dan rekayasa sosial yang direkayasa untuk pencurian kredensial dan pengiriman malware –
- Penggunaan versi trojanisasi dari perangkat lunak manajemen kata sandi Keepass – dengan nama kode Keeloader – untuk menjatuhkan suar Cobalt Strike dan mencuri data basis data Sensitive Keepass, termasuk kredensial administratif. Installer jahat di -host di Keepass Typosquat Domain yang disajikan melalui iklan Bing.
- Penggunaan umpan dan URL clickFix yang tertanam dalam dokumen PDF dan serangkaian URL penetes perantara untuk menggunakan Lumma Stealer.
- Penggunaan dokumen Microsoft Office yang terjebak booby yang digunakan untuk menggunakan pencuri informasi formbook yang dilindungi menggunakan layanan distribusi malware yang disebut sebagai pelindung Horus.
- Penggunaan gumpalan uris untuk secara lokal memuat halaman phishing kredensial melalui email phishing, dengan uris gumpalan berfungsi menggunakan halaman yang diizinkan (misalnya, onedrive.live[.]com) yang disalahgunakan untuk mengarahkan kembali korban ke situs jahat yang berisi tautan ke halaman HTML yang dikendalikan aktor ancaman.
- Penggunaan arsip RAR yang menyamar sebagai file pengaturan untuk mendistribusikan Netsupport Rat dalam serangan yang menargetkan Ukraina dan Polandia.
- Penggunaan email phishing untuk mendistribusikan lampiran HTML yang berisi kode berbahaya untuk menangkap pandangan korban, hotmail, dan kredensial Gmail dan mengekspresinya ke bot telegram bernama “Blessed Logs” yang telah aktif sejak Februari 2025
Perkembangan juga telah dilengkapi dengan peningkatan kampanye yang diperdaya dengan kecerdasan buatan (AI) yang memanfaatkan trik polimorfik yang bermutasi secara real-time untuk menghindari upaya deteksi. Ini termasuk memodifikasi baris subjek email, nama pengirim, dan konten tubuh untuk menyelipkan deteksi berbasis tanda tangan.
“AI memberi aktor ancaman kekuatan untuk mengotomatisasi pengembangan malware, skala serangan di seluruh industri, dan mempersonalisasi pesan phishing dengan presisi bedah,” kata Cofense.
“Ancaman yang berkembang ini semakin mampu mem-bypass filter email tradisional, menyoroti kegagalan pertahanan hanya perimeter dan kebutuhan untuk deteksi pasca pengiriman. Ini juga memungkinkan mereka untuk mengalahkan pertahanan tradisional melalui kampanye phishing polimorfik yang menggeser konten dengan lalat. Hasilnya: pesan-pesan yang menipu yang semakin sulit untuk deteksi dan bahkan keras untuk berhenti.”
