Pesquisadores de cibersegurança descobriram uma nova campanha de phishing que dissemina uma variante sem arquivo de um malware comercial conhecido chamado Remcos RAT.
O Remcos RAT "oferece aos compradores uma ampla gama de recursos avançados para controlar remotamente computadores pertencentes ao comprador", disse o pesquisador Xiaopeng Zhang do Fortinet FortiGuard Labs em uma análise publicada na semana passada.
No entanto, atores de ameaças abusaram do Remcos para coletar informações sensíveis das vítimas e controlar remotamente seus computadores para realizar atos maliciosos adicionais. O ponto de partida do ataque é um email de phishing que utiliza iscas temáticas de ordem de compra para convencer os destinatários a abrir um anexo do Microsoft Excel.
O documento Excel malicioso é projetado para explorar uma falha conhecida de execução de código remoto no Office (
CVE-2017-0199
, pontuação CVSS: 7.8) para baixar um arquivo de Aplicativo HTML (HTA) ("cookienetbookinetcahce.hta") de um servidor remoto ("192.3.220[.]22") e iniciá-lo usando mshta.exe.
O arquivo HTA, por sua vez, é envolto em múltiplas camadas de código JavaScript, Visual Basic Script e PowerShell para evitar a detecção.
Sua principal responsabilidade é recuperar um arquivo executável do mesmo servidor e executá-lo.
O binário, posteriormente, prossegue para rodar outro programa PowerShell ofuscado, adotando também uma série de técnicas anti-análise e anti-debug para complicar os esforços de detecção.
No passo seguinte, o código malicioso utiliza hollowing de processo para finalmente baixar e executar o Remcos RAT.
"Em vez de salvar o arquivo Remcos em um arquivo local e executá-lo, ele implanta diretamente o Remcos na memória do processo atual," disse Zhang.
Em outras palavras, é uma variante sem arquivo do Remcos. O Remcos RAT é equipado para colher vários tipos de informações do host comprometido, incluindo metadados do sistema, e pode executar instruções remotamente emitidas pelo atacante através de um servidor de comando e controle (C2).
Esses comandos permitem ao programa colher arquivos, enumerar e encerrar processos, gerenciar serviços do sistema, editar o Registro do Windows, executar comandos e scripts, capturar o conteúdo da área de transferência, alterar o papel de parede da área de trabalho da vítima, habilitar câmera e microfone, baixar cargas adicionais, gravar a tela, e até desativar a entrada de teclado ou mouse.
A divulgação surge enquanto a Wallarm revelou que atores de ameaças estão abusando das APIs do Docusign para enviar falsas faturas que parecem autênticas em uma tentativa de enganar usuários desavisados e conduzir campanhas de phishing em grande escala.
O ataque envolve a criação de uma conta Docusign legítima e paga que permite aos atacantes mudar templates e usar a API diretamente.
As contas são então usadas para criar templates de fatura especialmente elaborados, imitando pedidos para assinar documentos eletronicamente de marcas bem conhecidas como Norton Antivirus.
"Ao contrário dos golpes tradicionais de phishing que dependem de emails elaborados de maneira enganosa e links maliciosos, esses incidentes usam contas e templates genuínos do DocuSign para se passar por empresas respeitáveis, pegando usuários e ferramentas de segurança de surpresa," disse a empresa.
Se os usuários assinarem este documento eletronicamente, o atacante pode usar o documento assinado para solicitar pagamento da organização fora do DocuSign ou enviar o documento assinado através do DocuSign para o departamento financeiro para pagamento.
Campanhas de phishing também foram observadas utilizando uma tática não convencional chamada concatenação de arquivos ZIP para contornar ferramentas de segurança e distribuir trojans de acesso remoto para os alvos.
O método envolve anexar múltiplos arquivos ZIP em um único arquivo, o que introduz problemas de segurança devido à discrepância na maneira como diferentes programas como 7-Zip, WinRAR e o Explorador de Arquivos do Windows descompactam e analisam tais arquivos, resultando em um cenário onde cargas maliciosas são negligenciadas.
"Explorando as diferentes maneiras com que leitores de ZIP e gerenciadores de arquivos processam arquivos ZIP concatenados, os atacantes podem embutir malware que visa especificamente usuários de certas ferramentas," a Perception Point observou em um relatório recente.
Os atores de ameaças sabem que essas ferramentas muitas vezes perdem ou ignoram o conteúdo malicioso escondido dentro de arquivos concatenados, permitindo-lhes entregar sua carga sem serem detectados e mirar usuários que utilizam um programa específico para trabalhar com arquivos.
O desenvolvimento também vem à medida que um ator de ameaça conhecido como Venture Wolf foi vinculado a ataques de phishing mirando os setores de manufatura, construção, TI e telecomunicações russos com o MetaStealer, um fork do malware RedLine Stealer.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...