Προέκυψε μια εξελιγμένη καμπάνια κακόβουλου λογισμικού που στοχεύει χρήστες της Νότιας Κορέας, η οποία διανέμει το trojan απομακρυσμένης πρόσβασης Remcos (RAT) μέσω παραπλανητικών εγκαταστάσεων μεταμφιεσμένων ως νόμιμο λογισμικό κρυπτογράφησης VeraCrypt.
Αυτή η συνεχιζόμενη εκστρατεία επίθεσης εστιάζει κυρίως σε άτομα που συνδέονται με παράνομες πλατφόρμες διαδικτυακού τζόγου, αν και ειδικοί σε θέματα ασφάλειας προειδοποιούν ότι οι καθημερινοί χρήστες που κάνουν λήψη εργαλείων κρυπτογράφησης ενδέχεται επίσης να πέσουν θύματα του συστήματος.
Οι παράγοντες απειλής πίσω από αυτήν τη λειτουργία χρησιμοποιούν δύο διαφορετικές μεθόδους διανομής για να διαδώσουν το κακόβουλο ωφέλιμο φορτίο.
Η πρώτη προσέγγιση περιλαμβάνει πλαστά προγράμματα αναζήτησης βάσεων δεδομένων που φαίνεται να ελέγχουν λίστες αποκλεισμού για λογαριασμούς ιστοτόπων τζόγου, ενώ η δεύτερη μεταμφιέζεται ως γνήσια προγράμματα εγκατάστασης βοηθητικών προγραμμάτων VeraCrypt.
.webp.jpeg "Remcos RAT Masquerade ως VeraCrypt Installers κλέβει τα διαπιστευτήρια σύνδεσης χρηστών")
Και τα δύο κανάλια διανομής έχουν παρατηρηθεί να παρέχουν κακόβουλο λογισμικό μέσω προγραμμάτων περιήγησης ιστού και πλατφορμών ανταλλαγής μηνυμάτων όπως το Telegram, χρησιμοποιώντας ονόματα αρχείων όπως “****usercon.exe” και “blackusernon.exe” για να εξαπατήσουν ανυποψίαστα θύματα.
αναλυτές της ASEC αναγνωρισθείς που μόλις εκτελεστούν, τα πλαστά προγράμματα εγκατάστασης αναπτύσσουν κακόβουλα σενάρια VBS κρυμμένα στις ενότητες πόρων τους.
Αυτά τα σενάρια γράφονται στον προσωρινό κατάλογο του συστήματος με τυχαία ονόματα αρχείων πριν ενεργοποιηθούν.
Στη συνέχεια, το κακόβουλο λογισμικό ξεκινά μια πολύπλοκη αλυσίδα μόλυνσης που περιλαμβάνει πολλαπλά στάδια ασαφών σεναρίων VBS και PowerShell, παρέχοντας τελικά το ωφέλιμο φορτίο Remcos RAT που παρέχει στους εισβολείς πλήρη απομακρυσμένο έλεγχο σε παραβιασμένα συστήματα.
Ο αντίκτυπος αυτής της καμπάνιας εκτείνεται πέρα από την απλή μη εξουσιοδοτημένη πρόσβαση.
Το Remcos RAT είναι εξοπλισμένο με εκτεταμένες δυνατότητες κλοπής δεδομένων, όπως καταγραφή πληκτρολογίου, λήψη στιγμιότυπου οθόνης, έλεγχο κάμερας web και μικροφώνου και εξαγωγή διαπιστευτηρίων από προγράμματα περιήγησης ιστού.
Τα θύματα που έχουν μολυνθεί με αυτό το κακόβουλο λογισμικό αντιμετωπίζουν σημαντικούς κινδύνους να διακυβευτούν τα ευαίσθητα προσωπικά τους στοιχεία, τα διαπιστευτήρια σύνδεσης και τα οικονομικά τους δεδομένα και να μεταδοθούν στους διακομιστές εντολών και ελέγχου των εισβολέων.
Αλυσίδα μόλυνσης πολλαπλών σταδίων και παράδοση ωφέλιμου φορτίου
Η επίθεση χρησιμοποιεί μια εξελιγμένη διαδικασία μόλυνσης οκτώ σταδίων που έχει σχεδιαστεί για να αποφεύγει τον εντοπισμό από το λογισμικό ασφαλείας.
Μετά την εκτέλεση του αρχικού σταγονόμετρου, το κακόβουλο λογισμικό εξελίσσεται σε πέντε στάδια λήψης με σενάρια χρησιμοποιώντας ασαφή σενάρια VBS και PowerShell με παραπλανητικές επεκτάσεις αρχείων.
Αυτά τα ενδιάμεσα σενάρια περιέχουν ψευδή σχόλια, ανεπιθύμητα δεδομένα και αρχεία που μεταμφιέζονται σε εικόνες JPG ενώ στην πραγματικότητα ενσωματώνουν κακόβουλα ωφέλιμα φορτία με κωδικοποίηση Base64.
.webp.jpeg "Remcos RAT Masquerade ως VeraCrypt Installers κλέβει τα διαπιστευτήρια σύνδεσης χρηστών")
Η αλυσίδα μόλυνσης κορυφώνεται με έναν εγχυτήρα που βασίζεται σε .NET που επικοινωνεί με τους εισβολείς μέσω των webhooks του Discord.
Αυτός ο εγχυτήρας κατεβάζει το τελικό ωφέλιμο φορτίο Remcos RAT από απομακρυσμένους διακομιστές, το αποκρυπτογραφεί και το εγχέει απευθείας στη διαδικασία AddInProcess32.exe για να διατηρήσει την επιμονή.
Συγκεκριμένα, οι ερευνητές ασφαλείας ανακάλυψαν ότι ορισμένες παραλλαγές χρησιμοποιούν συμβολοσειρές στην κορεατική γλώσσα στις ρυθμίσεις διαμόρφωσης και τα κλειδιά μητρώου, υποδεικνύοντας τη στοχευμένη φύση της καμπάνιας προς τους χρήστες που μιλούν Κορεάτικα.
