Dateiloser Remcos-RAT-Angriff umgeht Antivirus mithilfe von PowerShell-Skripten

Eine neue Angriffswelle nutzt PowerShell- und LNK-Dateien, um Remcos RAT heimlich zu installieren und so die vollständige Fernsteuerung und Überwachung infizierter Systeme zu ermöglichen.

Cybersicherheitsexperten der Qualys Threat Research Unit (TRU) haben kürzlich einen ausgeklügelten Cyberangriff aufgedeckt, bei dem die Skriptsprache PowerShell verwendet wird, um heimlich Remcos RAT (Remote Access Trojan) zu installieren.

Mit dieser Methode können Angreifer unerkannt von vielen herkömmlichen Antivirenprogrammen agieren, da der Schadcode direkt im Arbeitsspeicher des Computers ausgeführt wird und nur sehr wenige Spuren auf der Festplatte hinterlässt.

Zu Ihrer Information: Remcos RAT ist ein leistungsstarkes Tool, mit dem Cyberkriminelle die vollständige Kontrolle über infizierte Computer erlangen. Nach der Installation können sie Opfer ausspionieren, Daten stehlen und andere schädliche Aktionen ausführen.

Laut der Qualys TRU-Analyse beginnt der Angriff, wenn ein Benutzer die schädliche Datei new-tax311.ZIP in einem ZIP-Archiv öffnet. Diese Datei enthält die Verknüpfung „new-tax311.lnk“. Durch Klicken auf diese LNK-Datei wird kein normales Programm geöffnet. Stattdessen wird ein Windows-Tool namens „mshta.exe“ verwendet, um ein verwirrendes (verschleiertes) PowerShell-Skript auszuführen.

Dieses Skript bereitet den Computer auf eine Infektion mit Remcos RAT vor. Zunächst versucht es, Windows Defender zu schwächen, indem es ihn anweist, den Ordner „C:/Users/Public/“ zu ignorieren. Außerdem ändert es die PowerShell -Einstellungen, um die Ausführung unsicherer Skripte ohne Warnung zu ermöglichen und versucht, diese heimlich auszuführen. Um sicherzustellen, dass Remcos RAT bei jedem Einschalten des Computers gestartet wird, fügt das Skript Informationen zur Windows-Registrierung hinzu.

Das Skript lädt außerdem mehrere Dateien in den Ordner "C:/Users/Public/" herunter. Eine davon könnte eine gefälschte, harmlose Datei wie „pp1.pdf“ sein. Außerdem lädt es zwei wichtige Dateien herunter: 311.hta (wird beim Systemstart ausgeführt und ähnelt „ xlab22.hta') und „ 24.ps1.' Die Datei „ 24.ps1 “ ist das wichtigste, versteckte PowerShell-Skript, das den Remcos RAT enthält. Dieses Skript verwendet spezielle Windows-Funktionen (Win32-APIs), um den Remcos RAT direkt im Arbeitsspeicher des Computers zu laden und auszuführen, wodurch eine Erkennung durch dateibasierte Sicherheitssysteme vermieden wird.

Das von den Forschern analysierte Remcos RAT TRU ist ein 32-Bit-Programm (Version 6.0.0), das Angreifern die Kontrolle über infizierte Computer ermöglicht. Es ist modular aufgebaut, d. h. es besteht aus verschiedenen Teilen, die unterschiedliche Aufgaben erfüllen können. Das Programm speichert außerdem verschlüsselte Daten, die es bei Bedarf entschlüsselt.

Diese verschlüsselten Daten enthalten die Adresse des Remote-Servers, mit dem eine Verbindung hergestellt wird ( readysteaurantscom auf Port 2025 über eine sichere Verbindung namens TLS), den Namen der Malware (Remcos) und einen speziellen Code ( Rmc-7SY4AX ), mit dem sie erkennt, ob der Computer bereits infiziert ist.

Remcos kann verschiedene schädliche Aktionen ausführen, darunter Keylogging, das Kopieren von Inhalten aus der Zwischenablage, das Erstellen von Screenshots, das Aufzeichnen von Mikrofonen und Webcams sowie den Diebstahl von Benutzerinformationen. Außerdem versucht es, die Analyse der Daten durch Sicherheitsprogramme zu verhindern.

Das Qualys TRU-Team betont, dass Benutzer die PowerShell-Protokollierung und die AMSI-Überwachung (eine Windows-Funktion zur Erkennung schädlicher Skripte) aktivieren und für besseren Schutz eine leistungsstarke EDR-Lösung (Endpoint Detection and Response) verwenden sollten.

In einem Kommentar gegenüber Hackread.com erklärte Xiaopeng Zhang , IPS-Analyst und Sicherheitsforscher bei Fortinets FortiGuard Labs: „ Die Angreifer hinter Remcos entwickeln ihre Taktik weiter. Anstatt die Sicherheitslücke CVE-2017-0199 über schädliche Excel-Anhänge auszunutzen, verwenden sie nun irreführende, mit PDF-Symbolen getarnte LNK-Dateien, um ihre Opfer zur Ausführung einer schädlichen HTA-Datei zu verleiten. “

Xiaopeng warnte: „ PowerShell spielt weiterhin eine Rolle in der Kampagne. Die neueste Variante verfolgt jedoch einen dateilosen Ansatz und nutzt PowerShell, um Remcos über die CallWindowProc()-API direkt im Speicher zu analysieren und auszuführen. Dies stellt eine Abkehr von früheren Methoden dar, bei denen Remcos vor der Ausführung als Datei heruntergeladen wurde. “