Злоумышленники до сих пор активно используют старый метод обхода UAC в Windows

Новая фишинговая кампания с использованием вредоносного ПО Remcos RAT нацелена на организации в странах Восточной Европы. Злоумышленники используют старый метод обхода контроля учетных записей Windows с помощью мок-каталогов.

Об использовании фиктивных доверенных каталогов для обхода контроля учетных записей Windows впервые стало известно ещё в 2020 году. Однако метод остается весьма эффективным и сегодня.

За последней кампанией Remcos наблюдали и анализировали исследователи SentinelOne , которые задокументировали свои выводы в подробном отчёте .

Письма фишинговой кампании отправляются с доменов верхнего уровня, соответствующих стране получателя, и обычно маскируются под счета, тендерную документацию и другие финансовые документы. Электронные письма не содержат много текста, кроме того, что требуется, чтобы привлечь внимание получателя к вложению, архиву «tar.lz», содержащему исполняемый файл DBatLoader.

Такой необычный выбор формата файла снижает шансы жертвы на успешное открытие вложения, но также помогает избежать обнаружения антивирусным программным обеспечением и средствами защиты электронной почты.

Полезная нагрузка первого этапа вредоносного загрузчика маскируется под документ Microsoft Office, LibreOffice или PDF с использованием двойных расширений и значков приложений, чтобы обмануть жертву и заставить её открыть файл.

При запуске загрузчика вредоносных программ полезная нагрузка второго этапа извлекается из общедоступной облачной службы, например Microsoft OneDrive или Google Drive.

Перед загрузкой Remcos RAT вредонос DBatLoader создаёт и выполняет пакетный скрипт Windows, чтобы злоупотреблять вышеупомянутым методом обхода UAC в Windows. Сам метод включает в себя использование комбинации перехвата DLL и имитации доверенных каталогов для обхода UAC и запуска вредоносного кода без запроса пользователя.

Windows UAC — это механизм защиты, который Microsoft представила ещё в Windows Vista, который запрашивает у пользователей подтверждение выполнения приложений с высоким риском.

Некоторые папки, такие как «C:WindowsSystem32», являются доверенными для Windows, что позволяет автоматически повышать права исполняемых файлов без отображения запроса UAC.

Мок-каталог — это имитация каталога с пробелом в конце. Например, «C:WindowsSystem32 » является законной папкой и считается надежным расположением в Windows. Поддельный каталог будет выглядеть как «C:Windows System32».

Встроенный проводник Windows рассматривает «C:Windows» и «C:Windows » как одну и ту же папку, тем самым обманывая операционную систему, заставляя её думать, что C:Windows System32 является доверенной папкой и файлы внутри неё должны выполняться с повышенными правами без запроса UAC.

DBatLoader создаёт папку «C:Windows System32» и копирует в неё законные исполняемые файлы («easinvoker.exe») с вредоносными библиотеки DLL («netutils.dll»).

Скрипт, который выполняет обход UAC Windows

«easinvoker.exe — это исполняемый файл с автоматическим повышением прав, что означает, что Windows автоматически повышает права этого процесса без выдачи запроса UAC, если он находится в доверенном каталоге или в поддельном мок-каталоге.

Загрузчик вредоносного ПО добавляет вредоносный сценарий («KDECO.bat»), который скрывается в библиотеке DLL, в список исключений Microsoft Defender, а затем устанавливает постоянство для Remcos путём создания соответствующих записей в реестре.

SentinelOne предлагает системным администраторам настроить UAC в Windows на значение «Всегда уведомлять», хотя это может мешать быстрой работе и даже пугать неопытных пользователей. Также администраторам рекомендуется регулярно проверять доверенные компьютеры на наличие мок-каталогов, используемых злоумышленниками для распространения вредоноса.