Африканские банки все чаще становятся мишенью кампаний по распространению вредоносных программ, в которых используются приемы контрабанды HTML и домены с опечатками для удаления троянов удаленного доступа (RAT).
Киберпреступники, заинтересованные в быстрой финансовой выгоде, являются постоянным источником проблем для банков в Африке, которые прибегают к развертыванию строгих мер безопасности шлюзов. Это вынудило злоумышленников разрабатывать более умные атаки, которые могли бы обойти меры защиты, и в 2022 году кампании, нацеленные на банки, используются с использованием комбинации уловок.
Атака начинается с фишингового электронного письма, отправленного сотруднику банка с домена с опечаткой, который напоминает URL-адрес законной компании, обычно банка-конкурента.
Электронное письмо представляет получателю выгодное предложение о работе и ссылки на подробности на указанном сайте. Перейдя по этой ссылке, жертва переходит на веб-страницу с инструкциями по применению.
Полезная нагрузка поступает в виде вложения HTML в указанное сообщение электронной почты, которое представляет собой архивный файл ISO в кодировке base64, декодируемый на лету и предлагаемый для загрузки через большой двоичный объект JavaScript в браузере.
Этот метод кражи опасных форматов файлов, не вызывая тревоги со стороны продуктов безопасности электронной почты, называется контрабандой HTML, и это хорошо зарекомендовавший себя и популярный метод распространения полезной нагрузки.
Файл ISO содержит файл сценария Visual Basic (VBS), который выполняется двойным щелчком мыши для создания нового ключа реестра и выполнения команд PowerShell, вызывающих различные функции Windows API.
После серии запусков вредоносного кода и злоупотреблений API Windows в системе собирается GuLoader, который загружает и запускает вредоносное ПО RemcosRAT.
Единственный способ разорвать цепочку заражения — установить приложение по умолчанию для файлов сценариев с Windows Script Host на Блокнот, что раскроет истинную природу файла VBS.
Remcos — это законный коммерческий инструмент удаленного доступа (RAT), который уже несколько лет используется киберпреступниками в злонамеренных целях.
Это мощный инструмент, поддерживающий удаленное выполнение команд, захват снимков экрана, регистрацию нажатий клавиш, запись с веб-камеры и микрофона и многое другое.
Потенциально злоумышленники используют Remcos для прослушивания деталей транзакций, кражи ценных учетных данных, бокового перемещения в сети банка или кражи информации, необходимой для атак.
