O Remcos RAT Abusa de Vulnerabilidades do Office para Atingir nNgócios
Segundo a Fortinet, o Remcos Remote Administration Tool (RAT) existe desde o segundo semestre de 2016. Seu autor, uma pessoa chamada Viotto, criou um site através do qual ele anuncia sua criação. Ele possui uma página de Termos de uso informando que o Remcos não deve ser usado para fins maliciosos. Da mesma maneira, quando indivíduos ricos compram um carro esportivo potente, provavelmente dizem que não devem exceder o limite de velocidade. No entanto, eles fazem.
Existe uma versão gratuita com funcionalidade limitada, mas não faltam cibercriminosos dispostos a gastar entre US $ 60 e US $ 390 pelo Remcos RAT. Nos últimos meses, os pesquisadores testemunharam mais do que algumas campanhas sendo veiculadas, embora se deva dizer que nenhuma delas foi particularmente grande. O que Cyren analisou recentemente também não parece especialmente grande, mas, no entanto, é interessante.
Aparentemente, é voltado para empresas e não para usuários individuais. Os pesquisadores disseram ter visto vítimas em todo o mundo, mas observaram que a maioria das organizações afetadas é da Ásia, Rússia e Oriente Médio. A cadeia de infecção começa com um e-mail criado para parecer que é proveniente de afiliados ou funcionários que trabalham em uma empresa farmacêutica conhecida. Existe um anexo que se apresenta como uma fatura ou um extrato. Portanto, do ponto de vista da engenharia social, os agentes de ameaças fizeram tudo o que podiam para maximizar suas chances de uma infecção bem-sucedida. A partir daqui, eles contam com as vítimas que não prestam muita atenção no que estão abrindo e em algumas vulnerabilidades do MS Office.
Quando abrem o anexo, as vítimas veem uma página em branco e um aviso que diz "Este documento contém links que podem se referir a outros arquivos. Deseja atualizar este documento com os dados dos arquivos vinculados?" Se a vítima clicar em Sim, acionará a exploração do CVE-2017-0199.
O CVE-2017-0199 é uma vulnerabilidade que ganhou algumas manchetes em abril, quando foi divulgada publicamente pela primeira vez. Envolve objetos OLE2 incorporados que fazem uma conexão HTTP através do processo do MS Word com um site remoto e baixam arquivos maliciosos.
No caso da campanha Remcos atual, o arquivo baixado é outro documento do Word extraído de um servidor em 23.92.211[.]215. O mesmo IP, ao que parece, foi usado para hospedar todos os tipos de arquivos maliciosos. O segundo documento do Word contém texto oculto que explora outra vulnerabilidade conhecida como CVE-2017-8759.
Desta vez, o analisador SOAP WSDL do MS Office está na parte inferior do fluxo. O MS Word entra em contato com o mesmo servidor e executa algum código .Net escondido dentro de um arquivo PNG. O código descarta e instala um executável dentro de% WinDir%\temp que, por sua vez, baixa o Remcos RAT real e o grava em% LocalAppData%\avast.exe.
É uma cadeia de infecção complicada e de vários estágios, projetada para atingir as vítimas com o que é certamente um RAT bastante potente.
Para nos dar uma ideia do que Remcos pode fazer, os pesquisadores de Cyren incluíram algumas capturas de tela na versão gratuita da ferramenta. A partir deles, podemos ver que o Remcos vem com algumas ferramentas de evasão de análise, recursos de injeção de processo, um keylogger, bem como funcionalidade de captura de tela e gravação de áudio.
Os especialistas de Cyren se aprofundaram um pouco mais e descobriram que as amostras capturadas contatam um servidor da C&C em infocolornido.publicvm[.]com. Novamente, o mesmo servidor foi usado por outras famílias de malware no passado.
Não há informações sobre quanto dano os operadores do Remcos RAT causaram na campanha atual. Deve-se dizer que, considerando a cadeia complicada de infecções, eles provavelmente não estão brincando.
O fato é que, no entanto, seu ataque pode ser mitigado facilmente. O CVE-2017-0199 e o CVE-2017-8759 foram corrigidos pela Microsoft. Sem as vulnerabilidades, o Remcos RAT não será implantado e a infecção será interrompida rapidamente. Portanto, grandes e pequenas empresas em todo o mundo, instale essas atualizações, caso ainda não o tenha feito.