Ciberseguridad 360 | Malware Remcos RAT se propaga vía Excel

Investigadores de ciberseguridad han descubierto una nueva campa�a de phishing que propaga una nueva variante sin archivos de un conocido malware comercial llamado Remcos RAT.

Remcos RAT �proporciona a las compras una amplia gama de funciones avanzadas para controlar de forma remota los ordenadores pertenecientes al comprador�, dijo el investigador de Fortinet FortiGuard Labs Xiaopeng Zhang en un an�lisis publicado la semana pasada.

�Sin embargo, los actores de amenazas han abusado de Remcos para recopilar informaci�n sensible de las v�ctimas y controlar remotamente sus ordenadores para realizar m�s actos maliciosos�.

El punto de partida del ataque es un correo electr�nico de phishing que utiliza se�uelos con tem�tica de �rdenes de compra para convencer a los destinatarios de que abran un archivo adjunto de Microsoft Excel.

El documento malicioso de Excel est� dise�ado para aprovechar un conocido fallo de ejecuci�n remota de c�digo en Office (CVE-2017-0199, puntuaci�n CVSS: 7,8) para descargar un archivo de aplicaci�n HTML (HTA) (�cookienetbookinetcahce.hta�) desde un servidor remoto (�192.3.220[.]22�) y ejecutarlo mediante mshta.exe.

El archivo HTA, por su parte, est� envuelto en m�ltiples capas de c�digo JavaScript, Visual Basic Script y PowerShell para evadir la detecci�n. Su principal responsabilidad es recuperar un archivo ejecutable del mismo servidor y ejecutarlo.

Posteriormente, el binario procede a ejecutar otro programa PowerShell ofuscado, al tiempo que adopta una serie de t�cnicas antian�lisis y antidepuraci�n para complicar los esfuerzos de detecci�n. En el siguiente paso, el c�digo malicioso aprovecha el vaciado de procesos para descargar y ejecutar Remcos RAT.

�En lugar de guardar el archivo Remcos en un archivo local y ejecutarlo, lo despliega directamente en la memoria del proceso actual�, explica Zhang. �En otras palabras, es una variante sin archivos de Remcos�.

Remcos RAT est� equipada para recopilar varios tipos de informaci�n del host comprometido, incluidos los metadatos del sistema, y puede ejecutar instrucciones emitidas de forma remota por el atacante a trav�s de un servidor de comando y control (C2).

Estos comandos permiten al programa recopilar archivos, enumerar y finalizar procesos, gestionar servicios del sistema, editar el Registro de Windows, ejecutar comandos y scripts, capturar el contenido del portapapeles, alterar el fondo de escritorio de la v�ctima, activar la c�mara y el micr�fono, descargar cargas �tiles adicionales, grabar la pantalla e incluso desactivar la entrada del teclado o el rat�n.

La revelaci�n se produce cuando Wallarm revel� que los actores de amenazas est�n abusando de las API de Docusign para enviar facturas falsas que parecen aut�nticas en un intento de enga�ar a usuarios desprevenidos y llevar a cabo campa�as de phishing a escala.

El ataque consiste en crear una cuenta de Docusign leg�tima y de pago que permite a los atacantes modificar las plantillas y utilizar directamente la API. Las cuentas se utilizan entonces para crear plantillas de facturas especialmente dise�adas que imitan las solicitudes de firma electr�nica de documentos de marcas conocidas como Norton Antivirus.

�A diferencia de las estafas de phishing tradicionales que se basan en correos electr�nicos enga�osos y enlaces maliciosos, estos incidentes utilizan cuentas y plantillas DocuSign genuinas para hacerse pasar por empresas de renombre, cogiendo desprevenidos a los usuarios y a las herramientas de seguridad�, dijo la compa��a.

�Si los usuarios firman electr�nicamente este documento, el atacante puede utilizar el documento firmado para solicitar el pago de la organizaci�n fuera de DocuSign o enviar el documento firmado a trav�s de DocuSign al departamento financiero para su pago.�

Tambi�n se han observado campa�as de phishing que aprovechan una t�ctica poco convencional denominada concatenaci�n de archivos ZIP para eludir las herramientas de seguridad y distribuir troyanos de acceso remoto a los objetivos.

El m�todo consiste en unir varios archivos ZIP en un �nico archivo, lo que introduce problemas de seguridad debido a la discrepancia en la forma en que diferentes programas como 7-Zip, WinRAR y el Explorador de archivos de Windows descomprimen y analizan dichos archivos, dando lugar a un escenario en el que se pasan por alto las cargas maliciosas.

�Aprovechando las diferentes formas en que los lectores ZIP y los gestores de archivos procesan los archivos ZIP concatenados, los atacantes pueden incrustar malware dirigido espec�ficamente a los usuarios de determinadas herramientas�, se�alaba Perception Point en un informe reciente.

�Los actores de amenazas saben que estas herramientas a menudo no detectan o pasan por alto el contenido malicioso oculto dentro de archivos comprimidos concatenados, lo que les permite entregar su carga �til sin ser detectados y dirigirse a usuarios que utilizan un programa espec�fico para trabajar con archivos comprimidos.�

El desarrollo tambi�n se produce cuando un actor de amenazas conocido como Venture Wolf ha sido vinculado a ataques de phishing dirigidos a los sectores rusos de fabricaci�n, construcci�n, TI y telecomunicaciones con MetaStealer, una bifurcaci�n del malware RedLine Stealer.

Fuente: thehackernews