Эксперты по кибербезопасности выявили новую активную фишинговую кампанию, которая использует сложный механизм доставки вредоносного ПО. Через фишинговое электронное письмо злоумышленники распространяют загрузчик DBatLoader, который запускает троянскую программу удаленного доступа (Remote Access Trojan, RAT) под названием Remcos. Механизмы, использованные в атаке, демонстрируют высокий уровень технической изощренности и направлены на обход системных защит Windows.
Ход атаки и используемые техники
Атака стартует с получения пользователем фишингового письма, которое содержит архив с вредоносным файлом. Анализ образца с помощью интерактивной среды ANY.RUN обнаружил, что в архиве содержится исполняемый файл с именем FAKTURA, который запускает загрузчик DBatLoader.
Основные особенности работы DBatLoader:
- Использование файлов с расширением .pif (Program Information File) для сокрытия своего выполнения и обхода контроля учетных записей пользователей (UAC).
- Маскировка через вводящие в заблуждение имена папок, например, C:Windows (с пробелом в конце), что эксплуатирует особенности обработки путей в Windows для повышения привилегий.
- Выполнение команд для имитации легитимной сетевой активности — например, использование PING.EXE к адресу 127.0.0.1 создаёт искусственные задержки, помогая избежать обнаружения на основе анализа тайминга.
Удалённое управление и устойчивость к обнаружению
Вредоносное ПО запускает дополнительные скрипты, к примеру, NEO.cmd, посредством процесса svchost.pif. Этот скрипт запускает extrac32.exe, чтобы изменить список исключений в Windows Defender, что значительно затрудняет выявление заражения.
Для обеспечения сохраняемости и автоматического повторного запуска в системе DBatLoader создаёт планировщик задач, который запускает файл Cmwdnsyn.url. Этот файл служит точкой входа для запуска вредоносных .pif файлов при загрузке системы.
Использование BatCloak и внедрение в системные процессы
DBatLoader применяет технологию маскировки скриптов с помощью инструмента BatCloak. С помощью запутанных .cmd файлов он загружает и запускает Remcos RAT — продвинутую форму вредоносного ПО.
Remcos RAT идёт ещё дальше, внедряясь в доверенные системные процессы, такие как SndVol.exe и colorcpl.exe. Это позволяет троянцу:
- Скрываться внутри легитимных процессов, снижая вероятность обнаружения антивирусными системами.
- Активно вмешиваться в системные процессы, усложняя анализ активности вредоносного ПО.
Выводы и рекомендации
Новейшая кампания с использованием DBatLoader и Remcos RAT демонстрирует, как злоумышленники совершенствуют методы доставки и сокрытия вредоносного ПО. Обход UAC, манипуляции с путями файловой системы и изменение настроек безопасности Windows — всё это создаёт серьезную угрозу для пользователей и корпоративных сетей.
Основные рекомендации для пользователей и организаций:
- Осторожно относиться к подозрительным вложениям в электронных письмах, особенно архивам с неизвестными файлами.
- Использовать современные средства защиты с актуальными базами сигнатур и механизмами поведенческого анализа.
- Мониторить системные процессы и задачи, особенно те, которые запускают нестандартные или неизвестные файлы.
- Обеспечить регулярное обновление операционных систем и антивирусных решений для минимизации риска эксплуатации уязвимостей.
В условиях постоянного совершенствования методов атак важно сохранять бдительность и своевременно реагировать на выявленные угрозы.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Анализ фишинговой кампании и распространения трояна Remos через DBatLoader".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.