InforSec News: Tội phạm mạng khai thác Excel để phát tán Fileless Remcos RAT Malware

Top Block Position

Tội phạm mạng khai thác Excel để phát tán Fileless Remcos RAT Malware

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch lừa đảo mới lây lan một biến thể không dùng tệp mới của phần mềm độc hại thương mại đã biết có tên Remcos RAT. Remcos RAT cung cấp cho các giao dịch mua hàng loạt tính năng nâng cao để điều khiển từ xa các máy tính của người mua.

Khởi đầu của cuộc tấn công là một email lừa đảo có nội dung đơn đặt hàng để thuyết phục người nhận mở tệp đính kèm Microsoft Excel. Tài liệu Excel độc hại được thiết kế để khai thác lỗ hổng thực thi mã từ xa trong Microsoft Office (CVE-2017-0199, CVSS: 7.8) để tải xuống tệp HTML Application (HTA) ("cookienetbookinetcahce.hta") từ máy chủ từ xa (" 192.3.220.22") và khởi chạy nó bằng mshta.exe. Tệp HTA được đóng gói trong nhiều lớp JavaScript, Visual Basic Script và mã PowerShell để tránh bị phát hiện với nhiệm vụ là truy xuất một tệp thực thi từ cùng một máy chủ và thực thi nó.

Sau đó, tệp nhị phân tiếp tục chạy một chương trình PowerShell bị xáo trộn khác, đồng thời áp dụng một loạt các kỹ thuật chống phân tích và chống gỡ lỗi để làm phức tạp các nỗ lực phát hiện, tải xuống và chạy Remcos RAT. Thay vì lưu tệp Remcos vào một tệp cục bộ và chạy nó, nó trực tiếp triển khai Remcos trong bộ nhớ của tiến trình hiện tại.

Remcos RAT được trang bị để thu thập các loại thông tin khác nhau từ máy chủ bị xâm nhập, bao gồm siêu dữ liệu hệ thống và có thể thực thi các lệnh từ xa do kẻ tấn công đưa ra thông qua máy chủ C&C. Các lệnh này cho phép chương trình thu thập tệp, liệt kê và chấm dứt các tiến trình, quản lý các dịch vụ hệ thống, chỉnh sửa Windows Registry, thực hiện các lệnh và tập lệnh, chụp nội dung bộ nhớ tạm, thay đổi hình nền máy tính để bàn của nạn nhân, bật máy ảnh và micro, tải xuống payload bổ sung, quay màn hình và thậm chí vô hiệu hóa bàn phím hoặc chuột.

Nguồn: The Hacker News

Công ty CP Dịch vụ an toàn thông tin TP.HCM (HISSC) chuyên cung cấp các dịch vụ về an ninh mạng gồm:

Điện toán đám mây.
Mạng phân phối nội dung
Giám sát an toàn thông tin mạng.
Bảo vệ an toàn thông tin đầu cuối.
Sao lưu, phục hồi dữ liệu.
Diễn tập phòng chống tấn công mạng.
Kiểm tra, đánh giá an toàn thông tin mạng.
Đào tạo an toàn thông tin.
Dịch vụ khác:
- Triển khai tích hợp giải pháp công nghệ an toàn thông tin theo yêu cầu.
- Cho thuê thiết bị an toàn thông tin, công nghệ thông tin

Liên hệ dịch vụ:

Số điện thoại: (84-28) 3715 9999 – Phòng PTKD
Email: sales@hissc.com.vn

Bottom Block Position

Trở lại Khoá học