Investigadores de ciberseguridad han descubierto una nueva campaña de phishing que difunde una nueva variante sin archivos de un conocido malware comercial llamado Remcos RAT.
Remcos RAT “proporciona compras con una amplia gama de funciones avanzadas para controlar de forma remota las computadoras que pertenecen al comprador”, dijo el investigador de Fortinet FortiGuard Labs, Xiaopeng Zhang, en un análisis publicado la semana pasada.
“Sin embargo, los actores de amenazas han abusado de Remcos para recopilar información confidencial de las víctimas y controlar remotamente sus computadoras para realizar más actos maliciosos”.
El punto de partida del ataque es un correo electrónico de phishing que utiliza señuelos con temas de órdenes de compra para convencer a los destinatarios de que abran un archivo adjunto de Microsoft Excel.
El documento malicioso de Excel está diseñado para explotar una falla conocida de ejecución remota de código en Office (CVE-2017-0199, puntuación CVSS: 7.8) para descargar un archivo de aplicación HTML (HTA) (“cookienetbookinetchahce.hta”) desde un servidor remoto (” 192.3.220(.)22″) y ejecútelo usando mshta.exe.
El archivo HTA, por su parte, está envuelto en múltiples capas de código JavaScript, Visual Basic Script y PowerShell para evadir la detección. Su principal responsabilidad es recuperar un archivo ejecutable del mismo servidor y ejecutarlo.
Posteriormente, el binario procede a ejecutar otro programa PowerShell ofuscado, al tiempo que adopta una serie de técnicas antianálisis y antidepuración para complicar los esfuerzos de detección. En el siguiente paso, el código malicioso aprovecha el proceso de vaciado para finalmente descargar y ejecutar Remcos RAT.
“En lugar de guardar el archivo Remcos en un archivo local y ejecutarlo, implementa Remcos directamente en la memoria del proceso actual”, dijo Zhang. “En otras palabras, es una variante sin archivos de Remcos”.
Remcos RAT está equipado para recopilar diversos tipos de información del host comprometido, incluidos los metadatos del sistema, y puede ejecutar instrucciones emitidas de forma remota por el atacante a través de un servidor de comando y control (C2).
Estos comandos permiten al programa recopilar archivos, enumerar y finalizar procesos, administrar servicios del sistema, editar el Registro de Windows, ejecutar comandos y scripts, capturar contenido del portapapeles, alterar el fondo de escritorio de la víctima, habilitar la cámara y el micrófono, descargar cargas útiles adicionales, grabar la pantalla, e incluso desactivar la entrada del teclado o del ratón.
La divulgación se produce cuando Wallarm reveló que los actores de amenazas están abusando de las API de Docusign para enviar facturas falsas que parecen auténticas en un intento de engañar a usuarios desprevenidos y realizar campañas de phishing a escala.
El ataque implica la creación de una cuenta Docusign legítima y paga que permite a los atacantes cambiar las plantillas y utilizar la API directamente. Luego, las cuentas se utilizan para crear plantillas de facturas especialmente diseñadas que imitan solicitudes de firma electrónica de documentos de marcas conocidas como Norton Antivirus.
“A diferencia de las estafas de phishing tradicionales que se basan en correos electrónicos engañosamente elaborados y enlaces maliciosos, estos incidentes utilizan cuentas y plantillas genuinas de DocuSign para hacerse pasar por empresas de buena reputación, tomando desprevenidos a los usuarios y a las herramientas de seguridad”, dijo la compañía.
“Si los usuarios firman electrónicamente este documento, el atacante puede utilizar el documento firmado para solicitar el pago a la organización fuera de DocuSign o enviar el documento firmado a través de DocuSign al departamento de finanzas para el pago”.
También se han observado campañas de phishing que aprovechan una táctica poco convencional llamada concatenación de archivos ZIP para eludir las herramientas de seguridad y distribuir troyanos de acceso remoto a los objetivos.
El método implica agregar varios archivos ZIP en un solo archivo, lo que introduce problemas de seguridad debido a la discrepancia en la que diferentes programas como 7-Zip, WinRAR y el Explorador de archivos de Windows descomprimen y analizan dichos archivos, lo que resulta en un escenario en el que cargas útiles maliciosas. se pasan por alto.
“Al explotar las diferentes formas en que los lectores ZIP y los administradores de archivos procesan archivos ZIP concatenados, los atacantes pueden incrustar malware dirigido específicamente a los usuarios de ciertas herramientas”, señaló Perception Point en un informe reciente.
“Los actores de amenazas saben que estas herramientas a menudo pasan por alto o pasan por alto el contenido malicioso oculto dentro de archivos concatenados, lo que les permite entregar su carga útil sin ser detectados y apuntar a usuarios que usan un programa específico para trabajar con archivos”.
El desarrollo también se produce cuando un actor de amenazas conocido como Venture Wolf ha sido vinculado a ataques de phishing dirigidos a los sectores rusos de fabricación, construcción, TI y telecomunicaciones con MetaStealer, una bifurcación del malware RedLine Stealer.