Remcos RAT через фишинг увольнений: маскировка RAR/NSIS

Коротко: Недавно обнаружена фишинговая кампания, в которой злоумышленники рассылают электронные письма на тему увольнений и кадровых уведомлений, чтобы добиться от сотрудников запуска вредоносного приложения. В качестве конечной полезной нагрузки используется Remcos (RAT), получающий устойчивый доступ к заражённым машинам и собирающий конфиденциальные данные.

«Атака наживается на тревогах сотрудников во время сокращений рабочей силы»

Механика атаки

Атака стартует с ввода в заблуждение через социальную инженерию: письма выглядят как официальные уведомления об увольнении или сообщения HR, что повышает вероятность того, что пользователь откроет вложение или перейдёт по ссылке. Основной вектор распространения — вложение в формате RAR, замаскированное двойным расширением (например, pdf.rar), внутри которого находится исполняемый файл, упакованный с помощью NSIS (Nullsoft Scriptable Install System).

Вложение имитирует легитимный PDF-документ, но на самом деле содержит исполняемый файл, скомпилированный через NSIS. При запуске этот файл запускает инсталляционный/загрузочный процесс, в ходе которого разворачивается и активируется Remcos.

Поведение полезной нагрузки

• Инициализация и многопоточность: после установки Remcos создаёт несколько потоков, каждый из которых отвечает за отдельную задачу.
• Ключевые функции: регистрация нажатий клавиш (keylogging), захват экрана (screen capture), мониторинг буфера обмена, и цикл обработки команд для поддержания связи с управляемым злоумышленником сервером C2.
• Сбор системной информации: при запуске собираются данные о хосте, идентификаторы пользователей и системная информация, необходимая для дальнейшей эксплуатации.
• Командно‑управляемая деятельность: вредоносное ПО поддерживает постоянный канал связи с C2 и выполняет команды злоумышленников для дальнейшего распространения, эксфильтрации данных или развертывания дополнительной полезной нагрузки.

Маскировка и обход защитных мер

Remcos использует несколько методов для обхода обнаружения:

• маскировка под _доброкачественный PDF_-файл с помощью двойного расширения;
• упаковка исполняемого файла в установщик NSIS (Nullsoft Scriptable Install System), что затрудняет простую фильтрацию по расширениям;
• зависимость от взаимодействия пользователя (user interaction) для выполнения, что снижает эффективность некоторых автоматических механизмов блокировки.

Закрепление и устойчивость

Для обеспечения постоянного присутствия на системе Remcos регистрируется в реестре Windows в расположении, позволяющем автоматический запуск при старте системы. Также вредоносное ПО хранит конфигурационные данные таким образом, чтобы сохранять работоспособность между сессиями и после перезагрузки.

Соответствие MITRE ATT&CK

Тактика и приёмы кампании согласуются с несколькими техниками из фреймворка MITRE ATT&CK, в том числе:

• Phishing — первоначальный доступ через вредоносные письма;
• User Execution — выполнение требует действий пользователя;
• Masquerading — маскировка исполняемого файла под легитимный документ;
• Boot or Logon Autostart Execution — закрепление в автозагрузке через реестр;
• System Information Discovery — сбор информации о хосте;
• Command and Control — поддержание канала связи с C2 для управления.

Рекомендации по защите

Организациям и пользователям рекомендуется принять следующие меры для снижения рисков:

• усилить контроль входящей почты: внедрить фильтрацию по вложениям и блокировку двойных расширений (например, *.pdf.rar);
• обучать сотрудников распознавать фишинговые письма, особенно те, которые эксплуатируют стрессовые темы (увольнения, HR-уведомления);
• ограничить запуск исполняемых файлов из вложений электронной почты и запретить выполнение неподписанных установщиков;
• внедрить EDR/AV с правилами обнаружения поведения (keylogging, screen capture, suspicious persistence);
• включить application allowlisting и контроль автозагрузки (мониторинг реестра и стартовых папок);
• регулярно обновлять системы и патчи, а также иметь процедуры быстрого реагирования и восстановления (резервное копирование).

Что делать при подозрении на компрометацию

• немедленно отключить подозрительный хост от сети;
• сообщить в SOC/IT и передать машину на детальную проверку и антивирусную диагностику;
• сменить учётные данные, если есть риск их компрометации;
• при необходимости восстановить систему из проверенной резервной копии;
• проанализировать почту и журнал событий для выявления источника и масштабов инцидента.

Фишинговые кампании, эксплуатирующие эмоциональное давление сотрудников, остаются эффективным и распространённым вектором атак. Комбинация человекоцентрированной социальной инженерии и хорошо замаскированной технической реализации — как в случае с Remcos — требует от организаций многоуровневой защиты: от обучения персонала до продвинутых технических контролей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Remcos RAT через фишинг увольнений: маскировка RAR/NSIS".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.