A Qualys Threat Research Unit descobre campanha, assenta num novo carregador baseado no PowerShell que instala e executa uma variante do Trojan e gera uma entrada de registo para manter a persistência.
A Qualys, Inc. (NASDAQ: QLYS), fornecedora líder de soluções de segurança em cloud, TI e conformidade, anuncia a descoberta de uma nova campanha que envolve o Remcos, um Trojan de acesso remoto (RAT) conhecido pela sua persistência e furtividade que dá aos atacantes o controlo total sobre os sistemas afetados, tornando-o uma ferramenta muito atrativa para a ciberespionagem e o roubo de dados.
Descoberta pela Qualys Threat Research Unit (TRU), a campanha baseia-se num novo carregador baseado no PowerShell, concebido para instalar e executar uma variante do Trojan Remcos. O ataque distribui ficheiros LNK maliciosos incorporados em ficheiros ZIP, muitas vezes disfarçados de documentos do Office. Quando executados, lançam um script PowerShell com código VBScript ofuscado que contorna o Windows Defender, sendo automaticamente transferido para o sistema.
Após a inicialização, o Remcos inicia automaticamente o módulo keylogger numa nova thread e executa a sua própria injeção de ficheiros no svchost, utilizando a descarga de processos para evitar o ataque. A partir daí, o sistema regista as teclas premidas, captura dados da área de transferência e screenshots e extrai detalhes das janelas ativas e de fundo. Também recolhe informações do sistema, como a versão do sistema operativo, ficheiros e aplicações instalados no computador e contorna o Controlo de Conta de Utilizador (UAC). Além disso, o sistema executa o cmd.exe antes e depois da tentativa de verificar a evasão e gera uma entrada no registo do Windows para manter a persistência.
Remcos: modus operandi do trojan
“Os cibercriminosos estão a recorrer cada vez mais ao PowerShell para lançar ataques furtivos que escapam aos antivírus tradicionais e às defesas dos endpoints. A deteção precoce é fundamental para travar ameaças como a Remcos, pelo que medidas como o controlo minucioso do registo do PowerShell, a monitorização contínua do anti-malware e uma solução EDR robusta são imperativas”, explica Sergio Pedroche, Country Manager da Qualys Iberia.Para mais informações sobre a nova campanha Remcos, visite o blog da Qualys.
Post A Comment:
0 comments: