Remcos Rat obtient une mise à niveau furtive alors que les attaquants abandonnent les anciens exploits de bureau pour un chargeur PowerShell sans fichier qui fonctionne entièrement en mémoire.
Les acteurs de la menace ont été repérés à l’aide d’un chargeur Shellcode basé sur PowerShell pour déployer furtivement Remcos Rat, un outil populaire prêt pour l’espionnage conformément à une évolution plus large vers des techniques sans fichier.
Comme l’a découvert Qualys, la campagne exécute un certain nombre d’étapes pour Phish un fichier .hta (application HTML) obstiné qui exécute des scripts PowerShell entièrement en mémoire.
« Les attaquants derrière les remcos évoluent leurs tactiques », a déclaré Xiaopeng Zhang, analyste IPS et chercheur en sécurité chez Fortiguard Labs de Fortinet. « Au lieu d’exploiter la vulnérabilité CVE-2017-0199 par le biais de pièces jointes malveillantes, ils utilisent désormais des fichiers LNK trompeurs déguisés avec des icônes PDF pour attirer les victimes dans l’exécution d’un fichier HTA malveillant. »
Les cybercriminels ont précédemment déployé Remcos Rat en exploitant une vulnérabilité dans Microsoft Office qui a permis aux attaquants d’exécuter du code arbitraire via des documents spécialement conçus, en particulier des fichiers Excel contenant des objets d’objets malveillants et des objets d’intégration (OLE).
Utilisation d’un chargeur Shellcode basé sur PowerShell
Dans les attaques observées, les acteurs de la menace ont déployé un chargeur Shellcode basé sur PowerShell qui exécute un code malveillant directement dans la mémoire du système, en contournant la détection traditionnelle basée sur des fichiers.
La chaîne d’infection commence par un raccourci LNK déguisé phisé au système d’une victime, qui lance Mshta.exe, un utilitaire Windows légitime, pour exécuter un VBScript caché. Le script télécharge et exécute une charge utile PowerShell fortement obscurcie, qui reconstruit ShellCode codé de base64 en mémoire.
Le raccourci LNK est envoyé à une victime, contenue dans un fichier zip, comme une pièce jointe se faisant passer pour un document fiscal, selon un rapport de QuALYS.
ShellCode en cours d’exécution entièrement en mémoire
Une fois le script PowerShell obscurci, il décode et reconstruit deux morceaux de données codées Base64 – un est un chargeur shellcode, l’autre fichier A PE (Remcos Rat).
Pour exécuter cela entièrement en mémoire, le script s’appuie fortement sur les fonctions d’API Windows natives, telles que VirtualAlloc, Marshal.copy et CallWindowProcw, accessibles via la capacité de PowerShell à s’interfacer avec du code non géré.
De plus, pour rester sous le radar, le malware emprunte un itinéraire plus sournois: au lieu de répertorier ouvertement les outils Windows (API) qu’il prévoit d’utiliser, il les chasse en mémoire à la volée. Cette astuce, connue sous le nom de «Walking the Process Environment Block (PEB)», l’aide à échapper aux scanners qui recherchent des indices évidents, comme des noms de fichiers connus ou des appels de fonction.
« Ce chargeur reprade les remcos en tant que plug-in éphémère plutôt que comme un implant résident », a ajouté Soroko. «En déplaçant chaque étape de la chaîne d’outils dans la mémoire transitoire et en dissolvant le chargeur lui-même une fois la session terminée, les opérateurs rendent les artefacts médico-légaux presque aussi jetables que la fermeture éclair du leurre.»
PowerShell Logging, AMSI Survering peut aider
Les chercheurs de QuATY ont fourni une liste d’indicateurs pour que les équipes de sécurité puissent définir la détection, qui comprenait les noms du domaine, de l’URL, de l’IP, du ZIP et de la PE observés dans la campagne.
Les recommandations incluent la garde de la journalisation PowerShell, l’activation de l’interface de numérisation anti-malware (AMSI) pour la numérisation de script en temps réel et la garantie d’une configuration EDR robuste. « La montée des attaques basées sur PowerShell comme la nouvelle variante Remcos Rat montre comment les acteurs de la menace évoluent pour échapper aux mesures de sécurité traditionnelles », a déclaré J Stephen Kowski, CTO Field à Pleasanton. « La sécurité avancée des e-mails qui peut détecter et bloquer les pièces jointes malveillantes LNK avant d’atteindre les utilisateurs est cruciale, tout comme la numérisation en temps réel des commandes PowerShell pour les comportements suspects. »
