Лажни PDF документи као мамац: ширење опасног Remcos тројанца

Сајбер криминалци су започели софистицирану пхисхинг кампању усмјерену на појединце и организације у Латинској Америци посебно у Колумбији, користећи злонамјерне PDF фајлове за ширење тројанаца за удаљен приступ (RAT – Remote Access Trojan) као што су Remcos, AsyncRAT и NjRAT.

Метод напада

Нападачи се представљају као представници државних институција и шаљу PDF документе у којима лажно оптужују примаоце за саобраћајне прекршаје или правне проблеме. У тим PDF документима садржани су линкови који када се кликну преузимају ZIP фајл са скривеним Visual Basic Script (VBS) фајлом. Овај фајл је сакривен додатним кодом како би избјегао откривање.

Стеганографија је техника скривања порука или информација унутар другог садржаја на такав начин да присуство те поруке остане непримијећено. За разлику од криптографије која само шифрује поруку (али је очигледно да порука постоји), стеганографија скрива чињеницу да порука уопште постоји.

Кад се покрене VBS активира Power Shell команду која преузима малициозни фајл са легитимних сервиса за складиштење фајлова (попут textbin.net, cdn.discordapp.com, pasteio.com, hidrive.ionos.com, wtools.io), а затим га извршава.

Remcos RAT је првенствено био дизајниран за администрацију система, односно требао је бити „легалан“ алат који је ипак на крају широко злоупотријебљен.

Способности малвера

Испоручени RAT малвери омогућавају нападачима даљинску контролу над зараженим рачунарима, крађу осјетљивих података, праћење активности корисника и потенцијално инсталирање додатних малвера.

Remcos RAT посебно познат по широком спектру могућности, може извршавати команде прегледати покренуте процесе, красти лозинке, правити снимке екрана и шпијунирати корисника путем камере и микрофона.

Препоруке за заштиту

• Потребно је бити опрезан са нежељеним мејловима нарочито онима који се позивају на званичне институције или садрже правна упозорења.
• Не кликати на непровјерене линкови нити преузимати прилоге из непознатих или сумњивих извора.
• Ажурирати оперативни систем и софтвер како би били заштићени од познатих рањивости.
• Користити поуздане анти-вирусне и анти-малвер алате за откривање и спречавање инфекција.
• Неопходна континуирана едукација запослених и других корисника о пхисхинг преварама и начину препознавања потенцијалних пријетњи. 

Извор: Hackers Using Weaponized PDF To Deliver Remcos RAT Malware on Windows