Sajber kriminalci su započeli sofisticiranu phishing kampanju usmjerenu na pojedince i organizacije u Latinskoj Americi posebno u Kolumbiji, koristeći zlonamjerne PDF fajlove za širenje trojanaca za udaljen pristup (RAT – Remote Access Trojan) kao što su Remcos, AsyncRAT i NjRAT.
Metod napada
Napadači se predstavljaju kao predstavnici državnih institucija i šalju PDF dokumente u kojima lažno optužuju primaoce za saobraćajne prekršaje ili pravne probleme. U tim PDF dokumentima sadržani su linkovi koji kada se kliknu preuzimaju ZIP fajl sa skrivenim Visual Basic Script (VBS) fajlom. Ovaj fajl je sakriven dodatnim kodom kako bi izbjegao otkrivanje.
Steganografija je tehnika skrivanja poruka ili informacija unutar drugog sadržaja na takav način da prisustvo te poruke ostane neprimijećeno. Za razliku od kriptografije koja samo šifruje poruku (ali je očigledno da poruka postoji), steganografija skriva činjenicu da poruka uopšte postoji.
Kad se pokrene VBS aktivira Power Shell komandu koja preuzima maliciozni fajl sa legitimnih servisa za skladištenje fajlova (poput textbin.net, cdn.discordapp.com, pasteio.com, hidrive.ionos.com, wtools.io), a zatim ga izvršava.
Remcos RAT je prvenstveno bio dizajniran za administraciju sistema, odnosno trebao je biti „legalan“ alat koji je ipak na kraju široko zloupotrijebljen.
Sposobnosti malvera
Isporučeni RAT malveri omogućavaju napadačima daljinsku kontrolu nad zaraženim računarima, krađu osjetljivih podataka, praćenje aktivnosti korisnika i potencijalno instaliranje dodatnih malvera.
Remcos RAT posebno poznat po širokom spektru mogućnosti, može izvršavati komande pregledati pokrenute procese, krasti lozinke, praviti snimke ekrana i špijunirati korisnika putem kamere i mikrofona.
Preporuke za zaštitu
Izvor: Hackers Using Weaponized PDF To Deliver Remcos RAT Malware on Windows