ایمیلهای فیشینگی توسط ترندمیکرو شناسایی شدهاند که حاوی پیوستهای مخربی برای انتقال ابزار دسترسی از راه دور Remcos RAT هستند.
۰
کشف جدید ترندمیکرو
انتقال بدافزار Remcos RAT از طریق ایمیلهای فیشینگ
منبع : مرکز مدیریت راهبردی افتا
ایمیلهای فیشینگی توسط ترندمیکرو شناسایی شدهاند که حاوی پیوستهای مخربی برای انتقال ابزار دسترسی از راه دور Remcos RAT هستند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، به تازگی پژوهشگران Trend Micro ایمیلهای فیشینگی را مشاهده کردهاند که حاوی پیوستهای مخربی برای انتقال ابزار دسترسی از راه دور Remcos RAT هستند. در حمله مشاهده شده بدافزار Remcos توسط ابزار AutoIt منتقل شده است که برای جلوگیری از شناسایی، از تکنیکهای ضددیباگ و مبهمسازی بهرهبرداری میکند.
بدافزار Remcos RAT برای نخستینبار در سال ۲۰۱۶ و در فرومهای هک مشاهده شد. به نظر میرسد که این بدافزار همچنان فعال و مورد استفاده مجرمان سایبری است. در سال ۲۰۱۷ بدافزار Remcos در فایلهای PowerPoint مخرب به همراه اکسپلویتی برای CVE-۲۰۱۷-۰۱۹۹ مشاهده شد. اخیرا نیز این بدافزار در ایمیلهای فیشینگ دیده شدهاست.
پیوست مخرب در ایمیل فیشینگ این حملات از فایل فشرده با فرمت ACE بهره میبرد که حاوی فایل Boom.exe است. پس از تبدیل این فایل اجرایی به اسکریپت AutoIt، مشاهده شد که کد مخرب دارای چندین لایه مبهمسازی برای جلوگیری از شناسایی و دشوار ساختن مهندسی معکوس آن برای پژوهشگران است. هدف اصلی فایل Boom.exe کسب پایداری، انجام فعالیتهایی برای جلوگیری از تحلیل و انتقال/اجرای بدافزار Remcos RAT در سیستم آلوده است.
ابزار AutoIt با بررسی vmtoolsd.exe و vbox.exe در لیست فرایندهای پردازشی در حال اجرا، میتواند وجود محیط مجازی را شناسایی کند. بدافزار همچنین دارای قابلیت دور زدن ویژگی کنترل حساب کاربری (UAC) است. Payload اصلی بدافزار نیز دارای قابلیتهای متنوعی ازجمله مدیریت Clipboard، حذف فایل، دانلود فایل از یک URL مشخص و اجرای آن در سیستم آلوده، اجرای دستور Shell، مدیریت فایل، بررسی فرایندهای پردازشی در حال اجرا، اجرای اسکریپت از راه دور، ثبتکننده کلید (keylogger)، ویرایش کلیدهای رجیستری، گرفتن اسکرینشات و غیره است.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، به تازگی پژوهشگران Trend Micro ایمیلهای فیشینگی را مشاهده کردهاند که حاوی پیوستهای مخربی برای انتقال ابزار دسترسی از راه دور Remcos RAT هستند. در حمله مشاهده شده بدافزار Remcos توسط ابزار AutoIt منتقل شده است که برای جلوگیری از شناسایی، از تکنیکهای ضددیباگ و مبهمسازی بهرهبرداری میکند.
بدافزار Remcos RAT برای نخستینبار در سال ۲۰۱۶ و در فرومهای هک مشاهده شد. به نظر میرسد که این بدافزار همچنان فعال و مورد استفاده مجرمان سایبری است. در سال ۲۰۱۷ بدافزار Remcos در فایلهای PowerPoint مخرب به همراه اکسپلویتی برای CVE-۲۰۱۷-۰۱۹۹ مشاهده شد. اخیرا نیز این بدافزار در ایمیلهای فیشینگ دیده شدهاست.
پیوست مخرب در ایمیل فیشینگ این حملات از فایل فشرده با فرمت ACE بهره میبرد که حاوی فایل Boom.exe است. پس از تبدیل این فایل اجرایی به اسکریپت AutoIt، مشاهده شد که کد مخرب دارای چندین لایه مبهمسازی برای جلوگیری از شناسایی و دشوار ساختن مهندسی معکوس آن برای پژوهشگران است. هدف اصلی فایل Boom.exe کسب پایداری، انجام فعالیتهایی برای جلوگیری از تحلیل و انتقال/اجرای بدافزار Remcos RAT در سیستم آلوده است.
ابزار AutoIt با بررسی vmtoolsd.exe و vbox.exe در لیست فرایندهای پردازشی در حال اجرا، میتواند وجود محیط مجازی را شناسایی کند. بدافزار همچنین دارای قابلیت دور زدن ویژگی کنترل حساب کاربری (UAC) است. Payload اصلی بدافزار نیز دارای قابلیتهای متنوعی ازجمله مدیریت Clipboard، حذف فایل، دانلود فایل از یک URL مشخص و اجرای آن در سیستم آلوده، اجرای دستور Shell، مدیریت فایل، بررسی فرایندهای پردازشی در حال اجرا، اجرای اسکریپت از راه دور، ثبتکننده کلید (keylogger)، ویرایش کلیدهای رجیستری، گرفتن اسکرینشات و غیره است.
کد مطلب : 15694
https://aftana.ir/vdceep8z.jh8noi9bbj.htmlaftana.ir/vdceep8z.jh8noi9bbj.html
آخرین عناوین
پربيننده ترين
۱
۲
۳
۴
۵