I ricercatori di Cybersecurity hanno fatto luce su una nuova campagna di malware che utilizza un caricatore di shell code basato su PowerShell per distribuire un Trojan di accesso remoto chiamato REMCOS RAT.
“Gli attori delle minacce hanno consegnato file LNK dannosi incorporati all’interno di archivi ZIP, spesso mascherati da documenti dell’ufficio”, il ricercatore della sicurezza di Qualcave Akshay Thorve disse in un rapporto tecnico. “La catena di attacco sfrutta mshta.exe per l’esecuzione del proxy durante la fase iniziale. “
L’ultima ondata di attacchi, come dettagliato da Qualys, impiega esche legate alle tasse per attirare gli utenti advert aprire un archivio zip dannoso contenente un file di scelta rapida di Home windows (LNK), che, a sua volta, utilizza Mshta.exe, uno strumento Microsoft legittimo utilizzato per eseguire applicazioni HTML (HTA).
Il binario viene utilizzato per eseguire un file HTA offuscato chiamato “XLAB22.HTA” ospitato su un server remoto, che incorpora il codice di script di Visible Primary per scaricare uno script PowerShell, un PDF esca e un altro file HTA simile a XLAB22.Hta chiamato “311.Hta”. Il file HTA è inoltre configurato per apportare modifiche al registro di Home windows per garantire che “311.hta” venga automaticamente lanciato all’avvio del sistema.
Una volta eseguito lo script PowerShell, decodifica e ricostruisce un caricatore di code shell che alla effective procede a lanciare il payload Remcos Rat interamente in memoria.
REMCOS RAT è un malware ben noto che offre agli attori delle minacce al pieno controllo sui sistemi compromessi, rendendolo uno strumento ideale per lo spionaggio informatico e il furto di dati. Un binario a 32 bit compilato utilizzando Visible Studio C ++ 8, presenta una struttura modulare e può raccogliere metadati del sistema, tasti di registro, schermate di acquisizione, monitorare i dati degli appunti e recuperare un elenco di tutti i programmi installati e processi di esecuzione.
Inoltre, stabilisce una connessione TLS a un server di comando e controllo (C2) su “Readysteaurants (.) Com”, mantenendo un canale persistente per l’esfiltrazione e il controllo dei dati.
Questa non è la prima volta che le versioni senza fila di remcos sono state individuate in natura. Nel novembre 2024, Fortinet Fortiguard Labs dettagliato Una campagna di phishing che ha implementato in fila il malware facendo uso di esche a tema ordini.
Ciò che rende attraente il metodo di attacco per gli attori delle minacce è che consente loro di funzionare non rilevati da molte soluzioni di sicurezza tradizionali mentre il codice dannoso funziona direttamente nella memoria del pc, lasciando pochissime tracce sul disco.
“L’ascesa di attacchi a base di PowerShell come la nuova variante di Rat Remcos dimostra come si stanno evolvendo gli attori delle minacce per eludere le tradizionali misure di sicurezza”, ha affermato J Stephen Kowski, CTO di campo di Slashnext.
“Questo malware senza fila opera direttamente in memoria, utilizzando file LNK e MSHTA.EXE per eseguire script di PowerShell offuscati che possono bypassare le difese convenzionali. La sicurezza e-mail avanzata che può rilevare e bloccare gli allegati LNK dannosi prima che raggiungano gli utenti è cruciale, come è cruciale la scansione in tempo reale dei comandi di Powerhell per comportamenti sospetti.”
La divulgazione arriva come Palo Alto Networks Unit 42 E THEATRAY ha dettagliato un nuovo caricatore .NET utilizzato per far esplodere una vasta gamma di furti di informazioni sulle materie prime e ratti come l’agente Tesla, NovaStealer, Remcos Rat, Vipkeylogger, Xloader e Xworm.
Il caricatore presenta tre fasi che funzionano in tandem per distribuire il carico utile dello stadio finale: un eseguibile .NET che incorpora la seconda e la terza fase in forma crittografata, una DLL .NET che decrittica e carica la fase successiva e una DLL .NET che gestisce la distribuzione del malware principale.
“Mentre le versioni precedenti hanno incorporato il secondo stadio come una stringa hardcoded, le versioni più recenti utilizzano una risorsa BitMap”, ha detto Threetray. “Il primo stadio estrae e decrittisce questi dati, quindi lo esegue in memoria per avviare la seconda fase.”
L’unità 42 ha descritto l’uso delle risorse BitMap per nascondere carichi di utili per la tecnica della steganografia maliziosa che può aggirare i tradizionali meccanismi di sicurezza ed eludere il rilevamento.
I risultati coincidono anche con l’emergere di numerous campagne di ingegneria di phishing e social che sono progettate per il furto di credenziali e la consegna di malware –
- Utilizzo delle versioni trojanizzate del software program di gestione delle password Keepass – nome in codice Keeloader – Per eliminare un faro di cobalto strike e rubare i dati del database KeepAss sensibili, comprese le credenziali amministrative. Gli installatori dannosi sono ospitati su domini KeepAss Tysosquat che vengono serviti tramite pubblicità Bing.
- Uso di ClickFix Lures E URL incorporati nei documenti PDF e una serie di URL di contagocce intermedia da distribuire Lumma Stealer.
- Uso di Documenti Microsoft Workplace intrappolati di booby che sono usati per distribuire il Formbook Informazioni Stealer Protected utilizzando un servizio di distribuzione malware chiamato come Horus Protector.
- Uso di Blob Uris Per caricare localmente una pagina di phishing delle credenziali tramite e-mail di phishing, con i BLOB URI serviti usando pagine di consumo quotati (advert esempio, OneDrive.reside (.) COM) che vengono abusati per reindirizzare le vittime in un sito dannoso che contiene un collegamento a una pagina HTML controllata da attore minaccia.
- Uso di Archivi rar mascherato da file di configurazione da distribuire RATO NETSupport In attacchi colpiti dall’Ucraina e dalla Polonia.
- Uso di e -mail di phishing per distribuire Allegati HTML che contengono un codice dannoso per catturare le prospettive, le credenziali di Hotmail e Gmail delle vittime ed esfiltrarli in un bot di telegrammi chiamato “Blessed Logs” che è attivo dal febbraio 2025
Gli sviluppi sono stati anche integrati dall’aumento delle campagne a punta di intelligenza artificiale (AI) che sfruttano i trucchi polimorfici che mutano in tempo reale per eludere gli sforzi di rilevamento. Questi includono la modifica delle linee di materia e-mail, i nomi dei mittenti e il contenuto del corpo per far passare il rilevamento basato sulla firma.
“L’intelligenza artificiale ha dato agli attori delle minacce il potere di automatizzare lo sviluppo del malware, scalare gli attacchi in tutti i settori e personalizzare i messaggi di phishing con precisione chirurgica”, Cofense disse.
“Queste minacce in evoluzione sono sempre più in grado di bypassare i tradizionali filtri e-mail, evidenziando il fallimento delle difese solo perimetrali e la necessità di rilevare post-consegna. Ha anche permesso loro di superare le difese tradizionali attraverso campagne polimorfiche di phishing che spostano il contenuto al volo. Il risultato: messaggi ingannevoli che sono sempre più difficili da rilevare e persino difficili da fermare.”
