از طریق فیشینگ" srcset="https://cdn.mos.cms.futurecdn.net/Ramk8kAMZnG58FVJidCvuF-320-80.jpg 320w, https://cdn.mos.cms.futurecdn.net/Ramk8kAMZnG58FVJidCvuF-480-80.jpg 480w, https://cdn.mos.cms.futurecdn.net/Ramk8kAMZnG58FVJidCvuF-650-80.jpg 650w, https://cdn.mos.cms.futurecdn.net/Ramk8kAMZnG58FVJidCvuF-800-80.jpg 970w, https://cdn.mos.cms.futurecdn.net/Ramk8kAMZnG58FVJidCvuF-800-80.jpg 1024w, https://cdn.mos.cms.futurecdn.net/Ramk8kAMZnG58FVJidCvuF-800-80.jpg 1200w, https://cdn.mos.cms.futurecdn.net/Ramk8kAMZnG58FVJidCvuF-800-80.jpg 1920w" sizes="(min-width: 1000px) 600px, calc(100vw - 40px)" data-pin-media="https://cdn.mos.cms.futurecdn.net/Ramk8kAMZnG58FVJidCvuF.jpg" class="block-image-ads hero-image" data-pin-nopin="true" fetchpriority="high" crossorigin="anonymous">اخیراً یک کمپین فیشینگ جدید مشاهده شده است که یک فایل اکسل را توزیع می کند
فایل یک نسخه بدون فایل از Remcos RAT را روی دستگاه میاندازد
Remcos میتواند فایلهای حساس، کلیدهای گزارش و موارد دیگر را بدزدد
هکرها در حال توزیع یک نسخه بدون فایل از Remcos Remote Access Trojan (RAT) هستند که سپس از آن برای سرقت اطلاعات حساس از دستگاه های مورد نظر با استفاده از نرم افزار صفحه گسترده ربوده شده استفاده می کنند.
در یک تحلیل فنی، محققان Fortinet گفتند که عوامل تهدید کننده ای را مشاهده کردند که ایمیل های فیشینگ را با موضوع سفارش خرید معمولی ارسال می کردند. پیوست به ایمیل یک فایل مایکروسافت اکسل است که برای سوء استفاده از یک آسیبپذیری اجرای کد از راه دور موجود در آفیس (CVE-2017-0199) ساخته شده است. هنگامی که فعال می شود، فایل یک فایل HTML Application (HTA) را از یک سرور راه دور دانلود کرده و از طریق mshta.exe راه اندازی می کند.
فایل دانلود شده یک بار دوم را از همان سرور می کشد که آنتی آنالیز اولیه و ضد اشکال زدایی را اجرا می کند و پس از آن Remcos RAT را دانلود و اجرا می کند.
رمکوس برمی گردد
به نوبه خود، Remcos همیشه بدافزار در نظر گرفته نمی شد. این نرم افزار به عنوان یک نرم افزار تجاری و قانونی ساخته شد که برای کارهای مدیریت از راه دور استفاده می شود. با این حال، توسط مجرمان سایبری ربوده شد، به همان روشی که Cobalt Strike ربوده شد، و امروزه بیشتر برای دسترسی های غیرمجاز، سرقت داده ها و جاسوسی استفاده می شود. Remcos می تواند ضربات کلید را ثبت کند، اسکرین شات بگیرد و دستورات را روی سیستم های آلوده اجرا کند.
اما این نسخه از Remcos مستقیماً در حافظه دستگاه حذف می شود: Fortinet توضیح داد: "به جای ذخیره فایل Remcos در یک فایل محلی و اجرای آن، Remcos را مستقیماً در حافظه فرآیند فعلی مستقر می کند." به عبارت دیگر، این یک نوع بدون فایل از Remcos است.
فیشینگ از طریق ایمیل همچنان یکی از محبوبترین روشهایی است که مجرمان سایبری دستگاهها را با بدافزار آلوده میکنند و اطلاعات حساس را به سرقت میبرند. اجرای آن ارزان است و عملکرد خوبی دارد و آن را به یک بردار حمله بسیار کارآمد تبدیل می کند. بهترین راه برای دفاع در برابر فیشینگ استفاده از عقل سلیم هنگام خواندن ایمیل ها و احتیاط بیشتر هنگام دانلود و اجرای هر پیوستی است.
ارسال نظر