Nuova variante Remcos RAT

07/05/2018

malware rat remcos
Remcos è un RAT (Remote Administration Tool) emerso in forum underground a fine luglio 2016. La versione commerciale dello strumento è disponibile sul sito pubblico. Il RAT, originariamente scritto in C ++, oltre ad offrire pieno accesso al sistema compromesso permette ai malintenzionati il download e caricamento di file, elencare unità e file, eseguire comandi, rubare dati e registrare le sequenze di tasti digitati.
 
Nelle versioni precedenti la diffusione del malware era associata a documenti armati di macro malevole, mentre di recente è emerso l’utilizzo di documenti RTF malevoli atti a sfruttare la vulnerabilità dell’Equation editor di Office, vulnerabilità insita nel processo Editor delle equazioni di Office (EQNEDT32.EXE), un editor di formule che consente agli utenti di costruire equazioni matematiche e scientifiche.
Nello specifico i ricercatori di Fortinet hanno rilevato un campione di questo documento nei quali i malintenzionati utilizzano tecniche di offuscamento e dati di riempimento davanti all’oggetto Equation reale così da impedire o tentare di non essere identificati dai prodotti di sicurezza come firewall e software Antivirus.
 
Tramite l’utilizzo di documenti RTF malevoli, associati allo sfruttamento della vulnerabilità (CVE-2017-11882), i malintenzionati tentano di diffondere una nuova variante di Remcos RAT, la versione “2.0.4 Pro”, che è stata rilasciata il 7 aprile 2018 dal suo sito ufficiale.
 
Quando un file RTF viene aperto in MS Office Word si verifica un buffer overflow e viene eseguito lo shellcode. I dati dello shellcode sono inizialmente cifrati, vengono decifrati solo prima dell’esecuzione. La figura seguente mostra una vista parziale del core dello shellcode e del contenuto di stringhe decifrate.
 
Lo shellcode, del caso analizzato, funge da downloader e il suo unico scopo è quello di scaricare i file da server preposti, nel caso riportato da hxxp://persianlegals.com/wp-includes/js/gist.exe” per essere posizionato nel percorso “%APPDATA%namegh.exe” e quindi essere eseguito da tale posizione.
 
Il file scaricato è un autoestraente, che contiene un archivio di compressione oltre ad un piccolo programma per decomprimerlo in una cartella specificata. Il payload è costituito da un programma interprete di AutoIt, uno script AuotIt e un file di configurazione che vengono quindi utilizzati nella parte conclusiva della catena di infezione che termina con l’inserimento di una chiave di persistenza “WindowsUpdate” in HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun”.
 
Di seguito un esempio di messaggio di malspam risalente alla fine di aprile 2018: 
 
Il RAT in questione è da ritenersi altamente pericoloso in quanto dispone di numerosissime funzionalità sia per l’esfiltrazione dati sia per il controllo da remoto. Questa versione di Remcos RAT in particolare è in grado di inviare al C2 informazioni sul sistema operativo, sul registro e sull’utente, mostrare o nascondere finestre, fare screenshot, caricare, scaricare, eseguire, terminare, rinominare o cancellare file, fare keylogging, registrare audio, cancellare le tracce del proprio passaggio, scrivere dati sulla clipboard, generare una lista dei processi, modificare il wallpaper e cancellare i cookie del browser e le credenziali già memorizzate per forzare l’utente a digitarle nuovamente.
 
 
URLs
  •  hxxp://persianlegals.com/wp-includes/js/gist.exe
Sample SHA256
 
Da analisi di tipo closint, il CERT-PA fornisce aggiuntivi indicatori di compromissione del RAT Remcos rilevati, anche nel contesto europeo, a partire dalla data del 22 aprile 2018 fino al 6 maggio 2018.
 
IoC (.txt) – SHA256, MD5, Domini ed indirizzi IP
IoC (.stix) – SHA256, MD5, Domini ed indirizzi IP