Sala de prensa

El CSIRT Finaciero informa a todos los interesados sobre cada uno de los aspectos corporativos relevantes en materia de ciberseguridad.

NUEVA CAMPAÑA DE REMCOS, CAPTURA INICIOS DE SESIÓN MEDIANTE ARCHIVOS UUENCODING

16/09/2024

NUEVA CAMPAÑA DE REMCOS, CAPTURA INICIOS DE SESIÓN MEDIANTE ARCHIVOS UUENCODING
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero, identificó una campaña de distribución del troyano de acceso remoto Remcos RAT, en la que los atacantes utilizan correos electrónicos de phishing disfrazados de comunicaciones comerciales legítimas, como cotizaciones y temas de importación/exportación.

Descripción:

Estos correos electrónicos contienen archivos comprimidos en formato UUEncoded (UUE) mediante Power Archiver, de los cuales se presume que ocultan el descargador de Remcos RAT.

El método de ataque se basa en la distribución de un script malicioso VBS oculto dentro de los archivos adjuntos de los correos electrónicos. Este script está codificado utilizando Unix-to-Unix Encoding (UUE), un formato que convierte datos binarios en texto legible, evadiendo así los sistemas de detección de malware. Los archivos adjuntos UUE contienen un encabezado, una sección de datos codificados y un marcador final. Al decodificar estos archivos, se revela un script VBS ofuscado que complica aún más el análisis y permite al atacante continuar con el proceso de infección.

El script VBS actúa como un descargador, obteniendo un script malicioso de PowerShell y guardándolo en el directorio temporal de la víctima. Este script de PowerShell descarga otro script malicioso, desde un servidor remoto y lo almacena en la carpeta “AppData” del usuario, también ofuscado inyecta shellcode en el proceso wab.exe, un proceso legítimo de Windows. Este shellcode establece persistencia en el sistema al modificar el registro, garantizando que el atacante mantenga el acceso incluso después de un reinicio, y descarga más datos maliciosos de otro servidor remoto.

Toda esta cadena de eventos culmina en la ejecución del malware, que otorga al atacante control no autorizado sobre la máquina de la víctima. Remcos RAT extrae información del sistema a través de un servicio de geolocalización, registra las pulsaciones de teclas y almacena estos datos en un archivo dentro del directorio “AppData” del usuario. Estos datos, incluyendo las pulsaciones de teclas, se filtran al servidor de comando y control del atacante, proporcionando acceso completo a la información de la máquina comprometida.

 

Vector de infección:

El vector de infección de esta campaña de Remcos RAT es un correo electrónico de phishing que contiene un archivo adjunto comprimido en formato UUEncoded, el cual incluye un script VBS malicioso. Este script, al ser ejecutado, descarga y ejecuta scripts de PowerShell adicionales desde servidores remotos, iniciando así la cadena de eventos que finaliza en la instalación y ejecución del troyano de acceso remoto.

 

Recomendaciones:

La amenaza analizada puede ser mitigada o detectada en su infraestructura tecnológica aplicando las siguientes recomendaciones:

  • Verificar cada uno de los indicadores de compromiso (IoC) adjuntos en el presente producto, los cuales pueden ser implementados en sus sistemas de seguridad perimetral; por lo anterior, el equipo del Csirt Financiero recomienda validar que no se interrumpa la disponibilidad de la operación y/o prestación de sus servicios (los hash md5, sha1 y sha256 son equivalentes).
  • Mantener todos los sistemas operativos y software de seguridad actualizados con los últimos parches y firmas de malware.
  • Desactivar la ejecución automática de macros y scripts en archivos adjuntos de correos electrónicos.

 

Leer noticia: https://gbhackers.com/remcos-rat-uuencoding-theft/