Исследователи кибербезопасности из компании Check Point выявилимасштабную фишинговую кампанию, нацеленную более чем на 40 крупных компаний различных отраслей экономики в Колумбии.
Целью злоумышленников была скрытная установка на компьютеры сотрудников организаций вредоносного программного обеспечения Remcos RAT с возможностями для дальнейшей компрометации и получения ценных данных.
Remcos RAT представляет собой сложный и многофункциональный инструмент удалённого доступа, позволяющий киберпреступникам получать полный контроль над заражённой системой и использовать её для различных кибератак и сбора конфиденциальных данных. Распространение Remcos часто приводит к хищению важной информации, установке прочих вредоносных программ и перехвату учётных записей пользователей.
Рассмотренная в Check Point атака всегда начиналась с массовой рассылки фишинговых писем от имени известных финансовых учреждений и крупных корпораций, работающих на территории Колумбии. Эти письма были тщательно разработаны для создания видимости их легитимности, кроме того, зачастую они содержали срочные уведомления, сообщения о просроченных долгах или привлекательные предложения.
Каждое фишинговое письмо включало в себя вложение в виде, казалось бы, безобидного архива ZIP, RAR или TGZ. В письме утверждалось, что архив содержит важные документы, счета или иную ценную для получателя информацию. И всё это, разумеется, чтобы побудить жертву открыть вложение.
В действительности данные архивы содержали в себе сильно обфусцированный BAT-файл, запуск которого инициировал выполнение PowerShell-команд. Эти команды также были существенно усложнены для анализа и обнаружения средствами безопасности.
После расшифровки PowerShell-команд происходила загрузка в оперативную память двух вредоносных Платформа включает в себя несколько основных компонентов, включая среду исполнения .NET, библиотеки классов .NET и компиляторы языков программирования.
.NET используется для создания разнообразных приложений, включая десктопные, веб- и мобильные приложения, а также игры и службы веб-серверов.