Nuovo attacco utilizza i file di collegamento di Windows per installare la backdoor REMCOS

Il team Lat61 Threat Intelligence dell'azienda di sicurezza Point Wild ha identificato una nuova e ingannevole campagna malware multifase. L'attacco utilizza una tecnica ingegnosa che coinvolge file dannosi Windows Shortcut, o LNK, un semplice puntatore a un programma o file, per diffondere un pericoloso trojan di accesso remoto (RAT) noto come REMCOS .

La ricerca , condotta dal Dott. Zulfikar Ramzan, CTO di Point Wild, e condivisa con Hackread.com, rivela che la campagna inizia con un file di collegamento apparentemente innocuo, probabilmente allegato a un'e-mail, con un nome file come " ORDINE-DI-ACQUIST-7263535 ".

Quando un utente fa clic su di esso, il file LNK esegue discretamente un comando PowerShell in background. Per vostra informazione, PowerShell è un potente strumento da riga di comando utilizzato da Windows per l'automazione delle attività; tuttavia, in questo attacco, viene utilizzato per scaricare/decodificare un payload nascosto.

Questo comando è progettato per scaricare e decodificare un payload nascosto senza attivare avvisi di sicurezza, salvare file o utilizzare macro. La ricerca fornisce hash specifici per questo file LNK, incluso MD5: ae8066bd5a66ce22f6a91bd935d4eee6 , per facilitare il rilevamento.

Questa campagna è progettata per essere furtiva utilizzando diversi livelli di mascheramento. Dopo l'esecuzione del comando PowerShell iniziale, recupera un payload codificato in Base64 da un server remoto. Questo è un metodo comune per nascondere codice dannoso in bella vista, poiché Base64 è un metodo standard per la codifica di dati binari in testo.

Una volta scaricato e decodificato, il payload viene avviato come file di informazioni sul programma o file .PIF , un tipo di eseguibile spesso utilizzato per programmi meno recenti. Gli aggressori hanno mascherato questo file come CHROME.PIF , imitando un programma legittimo.

Questo passaggio finale installa la backdoor REMCOS, dando agli aggressori il pieno controllo del sistema compromesso. Il malware garantisce inoltre la sua persistenza sul sistema creando un file di log per la registrazione dei tasti premuti in una nuova cartella Remcos nella directory %ProgramData% .

Una volta installata, la backdoor REMCOS garantisce agli aggressori un controllo completo sul computer della vittima. Il rapporto di threat intelligence evidenzia che può eseguire un'ampia gamma di attività dannose, tra cui il keylogging per rubare password, la creazione di una shell remota per l'accesso diretto e l'accesso ai file.

Inoltre, la backdoor REMCOS consente agli aggressori di controllare la webcam e il microfono del computer, consentendo loro di spiare l'utente. La ricerca ha anche rivelato che l'infrastruttura di comando e controllo (C2) per questa specifica campagna è ospitata in Romania e negli Stati Uniti.

Questa scoperta evidenzia la necessità di cautela, poiché questi attacchi possono provenire da qualsiasi parte del mondo. I ricercatori raccomandano agli utenti di prestare attenzione ai file di collegamento provenienti da fonti non attendibili, di controllare attentamente gli allegati prima di aprirli e di utilizzare software antivirus aggiornati con protezione in tempo reale.