Ataque RAT do Fileless Remcos evita antivírus usando scripts do PowerShell

Uma nova onda de ataques usa arquivos PowerShell e LNK para instalar secretamente o Remcos RAT, permitindo controle remoto completo e vigilância de sistemas infectados.

Especialistas em segurança cibernética da Qualys Threat Research Unit (TRU) descobriram recentemente um ataque cibernético sofisticado que utiliza a linguagem de script PowerShell para instalar secretamente o Remcos RAT (Trojan de acesso remoto).

Esse método permite que invasores operem sem serem detectados por muitos programas antivírus tradicionais porque o código malicioso é executado diretamente na memória do computador, deixando poucos rastros no disco rígido.

Para sua informação, o Remcos RAT é uma ferramenta poderosa que os cibercriminosos usam para obter controle total sobre os computadores infectados. Uma vez instalado, ele permite que espionem as vítimas, roubem dados e realizem outras ações prejudiciais.

De acordo com a análise da Qualys TRU, o ataque começa quando um usuário abre um arquivo malicioso dentro de um arquivo ZIP, new-tax311.ZIP, que contém um arquivo de atalho "new-tax311.lnk". Clicar neste arquivo .LNK não abre um programa normal. Em vez disso, ele usa uma ferramenta do Windows chamada "mshta.exe" para executar um script PowerShell confuso (ofuscado).

Este script prepara o computador para ser infectado pelo Remcos RAT. Primeiro, ele tenta enfraquecer o Windows Defender, instruindo-o a ignorar a pasta "C:/Usuários/Público/". Ele também altera as configurações do PowerShell para permitir que scripts inseguros sejam executados sem aviso prévio e tenta executá-los secretamente. Para garantir que o Remcos RAT seja iniciado sempre que o computador for ligado, o script adiciona informações ao Registro do Windows.

O script também baixa vários arquivos para a pasta "C:/Users/Public/" . Um deles pode ser um arquivo falso e inofensivo, como pp1.pdf. Ele também baixa dois arquivos principais: 311.hta (configurado para ser executado na inicialização e semelhante a ' xlab22.hta') e '24 24.ps1.' O arquivo 24.ps1 ' é o script principal e oculto do PowerShell que contém o Remcos RAT. Este script usa funções especiais do Windows (APIs do Win32) para carregar e executar o Remcos RAT diretamente na memória do computador, evitando a detecção pela segurança baseada em arquivos.

O Remcos RAT TRU analisado pelos pesquisadores é um programa de 32 bits V6.0.0 projetado para ser furtivo e dar aos invasores controle sobre os computadores infectados. Seu design é modular, o que significa que possui diferentes partes que podem executar diferentes tarefas. O programa também armazena dados criptografados, que são descriptografados quando necessário.

Esses dados criptografados contêm o endereço do servidor remoto ao qual ele se conecta ( readysteaurantscom na porta 2025 usando uma conexão segura chamada TLS), o nome do malware (Remcos) e um código especial ( Rmc-7SY4AX ) que ele usa para identificar se o computador já está infectado.

O Remcos pode realizar diversas ações prejudiciais, incluindo keylogging, cópia de conteúdo da área de transferência, captura de tela, gravação de microfones e webcams e roubo de informações do usuário. Ele também tenta impedir que programas de segurança as analisem.

A equipe Qualys TRU enfatiza que os usuários devem ativar o registro do PowerShell e o monitoramento AMSI (um recurso do Windows que ajuda a detectar scripts maliciosos) e usar uma solução EDR (Endpoint Detection and Response) forte para melhor proteção.

Em um comentário ao Hackread.com, Xiaopeng Zhang , analista de IPS e pesquisador de segurança do FortiGuard Labs da Fortinet, declarou : “ Os invasores por trás do Remcos estão evoluindo suas táticas. Em vez de explorar a vulnerabilidade CVE-2017-0199 por meio de anexos maliciosos do Excel, eles agora usam arquivos LNK enganosos disfarçados com ícones de PDF para induzir as vítimas a executar um arquivo HTA malicioso. ”

Xiaopeng alertou que “ o PowerShell continua a desempenhar um papel na campanha. No entanto, a variante mais recente adota uma abordagem sem arquivo, usando o PowerShell para analisar e executar Remcos diretamente na memória por meio da API CallWindowProc(). Isso marca uma mudança em relação aos métodos anteriores, em que o Remcos era baixado como um arquivo antes da execução. ”