Grupo UAC-0050 Utilizando Novas Táticas de Phishing para Distribuir RAT Remcos
4 de Janeiro de 2024

O ator de ameaça conhecido como UAC-0050 está aproveitando ataques de phishing para distribuir o Remcos RAT, usando novas estratégias para evitar a detecção de softwares de segurança.

"A arma de escolha do grupo é o Remcos RAT, um malware notório para vigilância e controle remotos, que tem estado na vanguarda de seu arsenal de espionagem", disseram os pesquisadores de segurança da Uptycs, Karthickkumar Kathiresan e Shilpesh Trivedi em um relatório de quarta-feira.

"No entanto, em seu mais recente giro operacional, o grupo UAC-0050 integrou um método de pipe para comunicação interprocessos, demonstrando sua avançada adaptabilidade."

O UAC-0050, ativo desde 2020, tem um histórico de ataque a entidades ucranianas e polonesas por meio de campanhas de engenharia social que se passam por organizações legítimas para enganar os destinatários a abrir anexos maliciosos.

Em fevereiro de 2023, a Equipe de Resposta a Emergências de Computador da Ucrânia (CERT-UA) atribuiu o adversário a uma campanha de phishing projetada para entregar o Remcos RAT.

Ao longo dos últimos meses, o mesmo trojan foi distribuído como parte de pelo menos três diferentes ondas de phishing, com um desses ataques também levando ao lançamento de um ladrão de informações chamado Meduza Stealer.

A análise da Uptycs é baseada em um arquivo LNK que ela descobriu em 21 de dezembro de 2023.

Embora o vetor de acesso inicial exato seja atualmente desconhecido, suspeita-se que tenha envolvido e-mails de phishing visando militares ucranianos que alegam anunciar vagas de consultoria com as Forças de Defesa de Israel (IDF).

O arquivo LNK em questão coleta informações sobre produtos antivírus instalados no computador alvo e, em seguida, procede para recuperar e executar uma aplicação HTML chamada "6.hta" de um servidor remoto usando mshta.exe, um binário nativo do Windows para rodar arquivos HTA.


Este passo abre caminho para um script PowerShell que descompacta outro script PowerShell para baixar dois arquivos chamados "word_update.exe" e "ofer.docx" do domínio new-tech-savvy[.]com.

Ao executar o word_update.exe, ele cria uma cópia de si mesmo com o nome fmTask_dbg.exe e estabelece persistência criando um atalho para o novo executável na pasta de inicialização do Windows.

O binário também usa pipes sem nome para facilitar a troca de dados entre si e um processo filho recém-criado para cmd.exe, a fim de descriptografar e lançar o Remcos RAT (versão 4.9.2 Pro), que é capaz de coletar dados do sistema e cookies e informações de login de navegadores da web como Internet Explorer, Mozilla Firefox e Google Chrome.


"Aproveitando pipes dentro do sistema operacional Windows, é fornecido um canal oculto para a transferência de dados, evitando habilmente a detecção por sistemas de Detecção e Resposta de Endpoint (EDR) e antivírus", disseram os pesquisadores.

"Embora não seja inteiramente novo, essa técnica marca um avanço significativo na sofisticação das estratégias do grupo."

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...