Скрытный троянец Remcos RAT массово атакует колумбийские организации

Исследователи кибербезопасности из компании Check Point выявили масштабную фишинговую кампанию, нацеленную более чем на 40 крупных компаний различных отраслей экономики в Колумбии.

Целью злоумышленников была скрытная установка на компьютеры сотрудников организаций вредоносного программного обеспечения Remcos RAT с возможностями для дальнейшей компрометации и получения ценных данных.

Remcos RAT представляет собой сложный и многофункциональный инструмент удалённого доступа, позволяющий киберпреступникам получать полный контроль над заражённой системой и использовать её для различных кибератак и сбора конфиденциальных данных. Распространение Remcos часто приводит к хищению важной информации, установке прочих вредоносных программ и перехвату учётных записей пользователей.

Рассмотренная в Check Point атака всегда начиналась с массовой рассылки фишинговых писем от имени известных финансовых учреждений и крупных корпораций, работающих на территории Колумбии. Эти письма были тщательно разработаны для создания видимости их легитимности, кроме того, зачастую они содержали срочные уведомления, сообщения о просроченных долгах или привлекательные предложения.

Каждое фишинговое письмо включало в себя вложение в виде, казалось бы, безобидного архива ZIP, RAR или TGZ. В письме утверждалось, что архив содержит важные документы, счета или иную ценную для получателя информацию. И всё это, разумеется, чтобы побудить жертву открыть вложение.

В действительности данные архивы содержали в себе сильно обфусцированный BAT-файл, запуск которого инициировал выполнение PowerShell -команд. Эти команды также были существенно усложнены для анализа и обнаружения средствами безопасности.

После расшифровки PowerShell-команд происходила загрузка в оперативную память двух вредоносных .NET -модулей. Первый из них отвечал за обход систем обнаружения и предотвращения вторжений на целевой машине. Он устранял или блокировал защитные механизмы, тем самым повышая шансы вредоноса остаться незамеченным и действовать скрытно.

Второй .NET-модуль загружал дополнительный компонент «LoadPE», отвечающий за запуск Remcos, напрямую в оперативной памяти устройства, без сохранения файлов на диске. Такая технология позволила максимально затруднить обнаружение вредоносной программы традиционными средствами защиты, ориентированными на мониторинг и сканирование файлов.

После успешной загрузки Remcos в память, атака считалась завершённой. Это мощный инструмент удалённого доступа предоставляет злоумышленникам полноценный контроль над скомпрометированной системой. Он служит для них своего рода мультитулом, давая широкие возможности по краже данных, слежке, сбору паролей и прочим противоправным действиям.

Исследователи Check Point провели тщательный анализ технических аспектов атаки. Особое внимание специалистов было уделено методам маскировки вредоносного ПО и процедурам деобфускации , позволившим раскрыть истинное предназначение BAT -файла и .NET-модулей.

Расшифровка скрытой функциональности этих элементов дала понимание всей сложности и изощрённости атаки. А это, в свою очередь, крайне важно для выработки эффективных мер противодействия подобным угрозам и защиты пользователей.

Специалисты Check Point отдельно отметили, что клиенты их решений по кибербезопасности могут не бояться данной угрозы, а для всех остальных компаний и частных исследователей эксперты Check Point предоставили необходимые индикаторы компрометации ( IoC ).