Cercetătorii de la Trellix avertizează asupra documentelor Excel care distribuie Remcos Remote Access Trojan (RAT) fără fișiere. Campania exploatează vulnerabilități critice și utilizează tehnici sofisticate de evaziune pentru a infecta ținte de înalt profil.
TL;DR
- Remcos RAT este un Remote Access Trojan.
- Documentele Excel încearcă să exploateze vulnerabilitatea CVE-2017-0199.
- Afișează evaziune avansată și țintește multiple industrii.
Ce este Remcos RAT?
Remcos RAT (Remote Access Trojan) este un instrument malware cunoscut care permite atacatorilor să controleze de la distanță computerele infectate. De la introducerea sa în 2016, a fost folosit adesea în activități cibernetice ilicite.
Cum funcționează atacul
În campania recent identificată, atacatorii folosesc documente Excel pentru a distribui malware-ul Remcos. Procesul începe cu un email de phishing care conține un fișier Excel criptat. Odată deschis, documentul exploatează vulnerabilitatea CVE-2017-0199 pentru a rula obiecte OLE încorporate și a descărca un fișier HTA malițios.
Fișierul HTA execută comenzi PowerShell care descarcă și procesează un script VBScript. Acest script, la rândul său, descarcă un fișier JPEG ce conține payload-ul final. Remcos RAT este apoi injectat într-un proces legitim de Windows, asigurând controlul continuu pentru atacatori.
Tehnici de evaziune
Atacatorii utilizează tehnici avansate pentru a evita măsurile de securitate. Printre acestea se numără injecția de template-uri (T1221) și scriptarea Visual Basic (T1059.001). Aceste tehnici complică detectarea și permit executarea de cod malițios fără fișiere vizibile pe sistemul infectat.
Ținte și impact
Această campanie a vizat numeroase sectoare inclusiv guvernamental, IT, bancar și de producție în mai multe țări precum Belgia, Japonia, și Statele Unite. Evaziunea sofisticată și complexitatea multiplelor etape ale atacului demonstrează cât de avansate au devenit amenințările cibernetice.
Cum să vă protejați
Pentru a vă proteja de atacuri similare, evitați să deschideți fișiere necunoscute și actualizați constant software-ul pentru a remedia vulnerabilitățile cunoscute. Implementarea soluțiilor de securitate care monitorizează comportamentele anormale poate preveni astfel de atacuri.
Un expert în securitate IT subliniază: „Este esențial să avem măsuri proactive de protecție în fața acestor tehnici avansate de evaziune.”
Sursa articolului:
https://cybersecuritynews.com/beware-weaponized-excel-fileless-remcos-rat/
Pe Threat Spotting apar articole identificate de specialiști în securitate cibernetică și simplificate prin inteligență artificială (AI). De aceea, e bine să consultați sursele oficiale întrucât tehnologiile AI curente pot genera informații incomplete sau parțial adevărate. Citește mai multe despre proiect aici.
