ایمیل‌های فیشینگی توسط ترندمیکرو شناسایی شده‌اند که حاوی پیوست‌های مخربی برای انتقال ابزار دسترسی از راه دور Remcos RAT هستند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، به تازگی پژوهشگران Trend Micro ایمیل‌های فیشینگی را مشاهده کرده‌اند که حاوی پیوست‌های مخربی برای انتقال ابزار دسترسی از راه دور Remcos RAT هستند. در حمله مشاهده شده بدافزار Remcos توسط ابزار AutoIt منتقل شده است که برای جلوگیری از شناسایی، از تکنیک‌های ضددیباگ و مبهم‌سازی بهره‌برداری می‌کند.

بدافزار Remcos RAT برای نخستین‌بار در سال ۲۰۱۶ و در فروم‌های هک مشاهده شد. به نظر می‌رسد که این بدافزار همچنان فعال و مورد استفاده مجرمان سایبری است. در سال ۲۰۱۷ بدافزار Remcos در فایل‌های PowerPoint مخرب به همراه اکسپلویتی برای CVE-۲۰۱۷-۰۱۹۹ مشاهده شد. اخیرا نیز این بدافزار در ایمیل‌های فیشینگ دیده شده‌است.

پیوست مخرب در ایمیل فیشینگ این حملات از فایل فشرده با فرمت ACE بهره می‌برد که حاوی فایل Boom.exe است. پس از تبدیل این فایل اجرایی به اسکریپت AutoIt، مشاهده شد که کد مخرب دارای چندین لایه مبهم‌سازی برای جلوگیری از شناسایی و دشوار ساختن مهندسی معکوس آن برای پژوهشگران است. هدف اصلی فایل Boom.exe کسب پایداری، انجام فعالیت‌هایی برای جلوگیری از تحلیل و انتقال/اجرای بدافزار Remcos RAT در سیستم آلوده است.

ابزار AutoIt با بررسی vmtoolsd.exe و vbox.exe در لیست فرایندهای پردازشی در حال اجرا، می‌تواند وجود محیط مجازی را شناسایی کند. بدافزار همچنین دارای قابلیت دور زدن ویژگی کنترل حساب کاربری (UAC) است. Payload اصلی بدافزار نیز دارای قابلیت‌های متنوعی ازجمله مدیریت Clipboard، حذف فایل، دانلود فایل از یک URL مشخص و اجرای آن در سیستم آلوده، اجرای دستور Shell، مدیریت فایل، بررسی فرایندهای پردازشی در حال اجرا، اجرای اسکریپت از راه دور، ثبت‌کننده کلید (keylogger)، ویرایش کلیدهای رجیستری، گرفتن اسکرین‌شات و غیره است.