هشدارهای افتایی
به تازگی پژوهشگران Trend Micro ایمیل‌های فیشینگی را مشاهده کرده‌اند که حاوی پیوست‌های مخربی برای انتقال ابزار دسترسی از راه دور Remcos RAT هستند. در حمله مشاهده شده بدافزار Remcos توسط ابزار AutoIt منتقل شده است که برای جلوگیری از شناسایی، از تکنیک‌های ضددیباگ و مبهم‌سازی بهره‌برداری می‌کند.
به گزارش معاونت بررسی مرکز افتا، به نقل از Trend Micro، بدافزار Remcos RAT برای اولین بار در سال 2016 و در فروم‌های هک مشاهده شد. به نظر می‌رسد که این بدافزار همچنان فعال و مورد استفاده مجرمین سایبری است. در سال 2017 بدافزار Remcos در فایل‌های PowerPoint مخرب به همراه اکسپلویتی برای CVE-2017-0199 مشاهده شد. اخیرا نیز این بدافزار در ایمیل‌های فیشینگ دیده شده است.
پیوست مخرب در ایمیل فیشینگ این حملات از فایل فشرده با فرمت ACE بهره می‌برد که حاوی فایل Boom.exe است. پس از تبدیل این فایل اجرایی به اسکریپت AutoIt، مشاهده شد که کد مخرب دارای چندین لایه مبهم‌سازی برای جلوگیری از شناسایی و دشوار ساختن مهندسی معکوس آن برای پژوهشگران است. هدف اصلی فایل Boom.exe کسب پایداری، انجام فعالیت‌هایی برای جلوگیری از تحلیل و انتقال/اجرای بدافزار Remcos RAT در سیستم آلوده است.
ابزار AutoIt، با بررسی vmtoolsd.exe و vbox.exe در لیست فرایندهای پردازشی در حال اجرا، می‌تواند وجود محیط مجازی را شناسایی کند. بدافزار همچنین دارای قابلیت دور زدن ویژگی کنترل حساب کاربری (UAC) است. Payload اصلی بدافزار نیز دارای قابلیت‌های متنوعی از جمله مدیریت Clipboard، حذف فایل، دانلود فایل از یک URL مشخص و اجرای آن در سیستم آلوده، اجرای دستور Shell، مدیریت فایل، بررسی فرایندهای پردازشی در حال اجرا، اجرای اسکریپت از راه دور، ثبت کننده کلید (keylogger)، ویرایش کلیدهای رجیستری، گرفتن اسکرین‌شات و غیره است.

نشانه‌های آلودگی (IoC):
هش‌ها:
•    cf624ccc3313f2cb5a55d3a3d7358b4bd59aa8de7c447cdb47b70e954ffa069b
•    1108ee1ba08b1d0f4031cda7e5f8ddffdc8883db758ca978a1806dae9aceffd1
•    6cf0a7a74395ee41f35eab1cb9bb6a31f66af237dbe063e97537d949abdc2ae9

منبع:

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.