详细内容或原文请订阅后点击阅览
在野外观察到一种新的无文件 Remcos RAT 变体
Fortinet 研究人员发现了一个新的网络钓鱼活动,正在传播商业恶意软件 Remcos RAT 的变种。 Fortinet 的 FortiGuard Labs 最近发现了一个传播 Remcos RAT 新变种的网络钓鱼活动。Remcos 是一种商业远程管理工具 (RAT),可在线销售,允许买家远程控制计算机。威胁行为者使用 Remcos […]
来源:Security Affairs _恶意软件在野外观察到一种新的无文件 Remcos RAT 变种
在野外观察到一种新的无文件 Remcos RAT 变种
Pierluigi Paganini Pierluigi Paganini 2024 年 11 月 11 日Fortinet 研究人员发现了一项新的网络钓鱼活动,该活动正在传播商业恶意软件 Remcos RAT 的变种。
Fortinet 的 FortiGuard Labs 最近发现了一项网络钓鱼活动,该活动正在传播 Remcos RAT 的新变种。
Remcos RATRemcos 是一种商业远程管理工具 (RAT),可在线销售,允许买家远程控制计算机。威胁行为者使用 Remcos 窃取敏感信息并控制受害者的计算机进行恶意活动。
网络钓鱼邮件包含伪装成订单文件的恶意 Excel 文档,以诱骗收件人打开该文档。打开文件后,RCE 漏洞 CVE-2017-0199 被利用。
CVE-2017-0199自 2017 年以来,威胁行为者利用武器化的富文本文件 (RTF) 文档,利用 Office 的对象链接和嵌入 (OLE) 接口中的漏洞来传播恶意软件,例如 DRIDEX 银行木马。
DRIDEX 银行木马一旦 CVE-2017-0199 被利用,它会下载 HTA 文件并在收件人的设备上执行它。
在这次攻击中,MS Excel 程序访问一个缩短的 URL,该 URL 重定向到特定的 IP 地址,下载 HTA(HTML 应用程序)文件。该文件由 Windows 应用程序 mshta.exe 通过 Excel 的 DCOM 组件执行,从而启动攻击链。
mshta.exe
研究人员注意到,HTA 文件使用不同的脚本语言和编码方法进行多层包装,包括 JavaScript、VBScript、Base64 编码、URL 编码和 PowerShell,以试图逃避检测。
mshta.exe
dllhost.exe
dllhost.exe
%AppData%
Aerognosy.Res
dllhost.exe
%temp%
Vaccinerende.exe
VirtualAlloc()
CallWindowProcA()
分析
恶意代码使用进程挖空技术秘密下载并执行最终负载 Remcos RAT,使攻击者能够远程控制受感染的系统。
InternetOpenA()
(
–