São Paulo — InkDesign News — Um novo ataque cibernético, baseado em PowerShell e arquivos LNK, permite a instalação silenciosa do Remcos RAT (Remote Access Trojan), revelando uma evolução nas táticas de cibercriminosos, de acordo com a análise da Qualys Threat Research Unit (TRU).
Incidente e vulnerabilidade
Segundo o relatório da Qualys TRU, o ataque se inicia quando uma vítima abre um arquivo malicioso contido em um arquivo ZIP chamado new-tax311.ZIP, que contém um atalho new-tax311.lnk. Ao clicar nesse arquivo, em vez de iniciar um programa convencional, ele utiliza a ferramenta Windows mshta.exe para executar um script PowerShell ofuscado. Este script compromete a máquina, desviando a atenção de programas de antivírus tradicionais ao operar diretamente na memória do computador e limitando as evidências deixadas no disco rígido.
Impacto e resposta
O Remcos RAT, uma ferramenta poderosa de controle remoto, permite que os atacantes espionem, roubem dados e realizem diversas ações prejudiciais nas máquinas infectadas. O ataque modifica configurações do Windows Defender para ignorar a pasta C:/Users/Public/ e altera as definições do PowerShell para permitir a execução de scripts inseguros sem alertas. O script também faz o download de arquivos adicionais, incluindo um arquivo oculto 24.ps1, que contém o Remcos RAT. A análise revelou que o programa, categorizado como 32 bits na versão 6.0.0, adota uma abordagem modular, armazenando dados criptografados que ajudam a identificar e conectar-se a servidores remotos, mantendo um sinal de comunicação em uma porta específica utilizando TLS.
Mitigações recomendadas
Os especialistas recomendam que os usuários ativem o registro de logs do PowerShell e a monitorização AMSI (Antimalware Scan Interface) para fortalecer a detecção de scripts maliciosos. Além disso, o uso de uma solução robusta de EDR (Endpoint Detection and Response) é enfatizado como uma medida essencial para proteção. Xiaopeng Zhang, Analista de IPS e Pesquisador de Segurança da Fortinet, salientou:
“Os atacantes por trás do Remcos estão evoluindo suas táticas. Em vez de explorar a vulnerabilidade CVE-2017-0199 através de anexos maliciosos do Excel, agora utilizam arquivos LNK disfarçados com ícones de PDF para atrair vítimas a executar um arquivo HTA malicioso.”
(“The attackers behind Remcos are evolving their tactics. Instead of exploiting the CVE-2017-0199 vulnerability through malicious Excel attachments, they now use deceptive LNK files disguised with PDF icons to lure victims into executing a malicious HTA file.”)— Xiaopeng Zhang, Analista de IPS, Fortinet
Os especialistas indicam que a mudança para uma abordagem sem file é um desenvolvimento preocupante. O uso do PowerShell, em particular, está em alta nas campanhas avançadas de ameaças, permitindo que o Remcos seja executado diretamente na memória, utilizando a API CallWindowProc().
Em síntese, os riscos residuais, resultantes da evolução contínua das táticas de ataque, exigem que as instituições reforcem suas medidas de segurança e adotem práticas proativas para mitigar ameaças futuras.
Fonte: (Hack Read – Segurança Cibernética)
