Специалисты в области кибербезопасности выявили новую фишинговую кампанию, распространяющую бесфайловую версию коммерческого вредоносного ПО Remcos RAT.
Remcos RAT предоставляет расширенные возможности для удалённого управления заражёнными компьютерами, но злоумышленники используют его для сбора конфиденциальной информации и удалённого управления системами для совершения вредоносных действий.
Атака начинается с фишингового письма, имитирующего заказ на покупку, которое заставляет получателей открыть вложение в Microsoft Excel. Документ Excel использует уязвимость в Office для загрузки и выполнения HTML-приложения, содержащего код JavaScript, Visual Basic Script и PowerShell.
Файл HTA загружает зашифрованный файл PowerShell, который использует методы защиты для усложнения обнаружения. Затем он запускает процесс hollowing для загрузки и выполнения Remcos RAT в памяти текущего процесса.
Remcos RAT собирает информацию с заражённого хоста и выполняет команды, получаемые через сервер управления и контроля (C2). Эти команды позволяют программе собирать файлы, управлять процессами, системными службами и реестром Windows, а также выполнять различные операции, включая захват экрана и отключение клавиатуры и мыши.
Компания Wallarm сообщила о злоупотреблениях API Docusign со стороны злоумышленников. Они создают поддельные счета, имитирующие запросы на электронную подпись от известных брендов, и используют их для проведения масштабных фишинговых кампаний.
В этих атаках злоумышленники создают законные учётные записи Docusign и используют их для создания поддельных счетов-фактур. Если пользователи подписывают эти документы, злоумышленники могут использовать их для получения оплаты или отправки через финансовый отдел.
Также были замечены фишинговые кампании, которые используют ZIP-файлы для обхода средств защиты. Этот метод объединяет несколько ZIP-архивов в один файл, создавая проблемы с безопасностью из-за различий в распаковке и анализе файлов разными программами.
Злоумышленники, такие как Venture Wolf, используют фишинговые атаки для заражения российских компаний с помощью MetaStealer, ответвления вредоносного ПО RedLine Stealer.