Aviso sobre amenazas de ciberseguridad:

14 de noviembre de 2024

Campaña de Phishing que difunde Remcos RAT

Se ha descubierto una nueva campaña de phishing que propaga una variante sin archivos del Malware Remcos RAT.

¿Cuál es la amenaza?

Esta campaña distribuye Malware a través de un correo electrónico de Phishing que contiene un archvo adjunto de Excel malicioso, que explota una vulnerabilidad existente de Microsoft, CVE-2017-0199, para ejecutar silenciosamente su código. Cuando se abre el archivo de Excel aprovecha la vulnerabilidad para realizar la descarga de un archivo de aplicación HTML (HTA). El archivo HTA se ejecuta utilizando “mshta.exe” de Microsoft, que ejecuta scripts para descargar un ejecutable llamado “dllhost.exe”. Una vez que el dispositivo de la víctima, este archivo facilita la instalación del malware Remcos RAT, lo que brinda a los cibercriminales control remoto sobre el sistema infectado.

¿Por qué es de relevancia?

Los atacantes han diseñado especialmente el archivo HTA para que no sea detectado, envolviéndolo en varias capas de código PowerShell, JavaScript, Visual Basic Script. Además, el Malware emplea varias técnicas antianálisis y antidepuración, además de ejecutar un script PowerShell adicional.

El Malware utilizado el vaciado de procesos para descargar y ejecutar Remcos RAT. En lugar de guardar el archivo Remcos localmente, lo inyecta directamente en la memoria de un proceso en ejecución, creando una versión sin archivos del Malware.

Remcos RAT permite a los atacantes emitir comandos de forma remota a través de un servidor de comando y control (C2) y puede recopilar una amplia gama de datos del sistema infectado, incluidos los metadatos del sistema. Con estos comandos, el malware puede recopilar archivos, enumerar y finalizar procesos, controlar servicios del sistema, modificar el Registro de Windows, ejecutar comandos y scripts, tomar capturas de pantalla, alterar el fondo de pantalla del escritorio de la víctima, activar la cámara y el micrófono, descargar cargas útiles adicionales, grabar la pantalla e incluso deshabilitar la entrada del teclado y el mouse.

Indicadores de compromiso:

3.220.22
173.4.16

¿Cuál es el riesgo?

El ataque consiste en crear una cuenta de pago legitima de DocuSing, lo que permite a los atacantes modificar las plantillas y utilizar la API directamente. Estas cuentas se utilizar para crear platillas de facturas fraudulentas que se parecen a solicitudes de firma electrónica de marcas conocidas, como Norton Antivirus.

A diferencia de los ataques de phishing tradicional que se basan en correos electrónicos engañosos y enlaces maliciosos, estos incidentes utilizan cuentas y plantillas auténticas de DocuSign para hacerse pasar por empresas de confianza, lo que toma por sorpresa tanto a los usuarios como a los sistemas de seguridad. Si los usuarios firman electrónicamente el documento, el atacante puede utilizar la versión firmada para solicitar el pago a la organización fuera de DocuSign o enviarlo al departamento de finanzas para su procesamiento.

Recomendaciones

Se recomienda realizar las siguientes acciones para tomar medidas adicionales y reducir el riesgo de explotación protegiendo su infraestructura critica de esta y otras amenazas similares:

Bloquee todos los indicadores de amenaza en sus respectivos controles
Busque indicadores de compromiso (IOC) en su entorno utilizando sus respectivos controles de seguridad.
Habilite la detección y respuesta de endpoints (EDR) o antivirus y antimalware con actualizaciones frecuentes de las definiciones de firmas. Es necesario utilizar un enfoque de protección de múltiples capas para proteger los activos vulnerables.
Actualice y aplique parches a todas las plataformas y software de manera oportuna y conviértalo en una política de seguridad estándar.
Emplee sistemas de prevención y detección de intrusiones en la red para monitorear y bloquear actividades maliciosas en la red.
Implemente un filtrado de correo electrónico avanzado para detectar y bloquear correos electrónicos de Phishing.

Con los productos que ofrece Cobra Networks, permítase tener un entorno más seguro.