Excel dosyası görünümlü bir dosya kullanılarak yapılan hack yöntemi yayılmaya başladı. Araştırmacılar tarafından yapılan teknik analizde, hackerların “sipariş” temalı kimlik avı e-postaları gönderdiği belirlendi.
E-postaya eklenen Microsoft Excel dosyası, Office’te yer alan bir uzaktan kod yürütme açığını (CVE-2017-0199) istismar etmek için tasarlanmış olarak çalışıyor.
Bu açık tetiklendiğinde, dosya uzak bir sunucudan HTML Uygulaması (HTA) dosyasını indirip mshta.exe aracılığıyla çalıştırıyor.
İndirilen bu HTA dosyası, aynı sunucudan ikinci bir zararlı yazılım yükleyerek anti-analiz ve anti-hata ayıklama süreçlerini çalıştırıyor. Bu aşamaların ardından Remcos RAT yükleniyor ve çalıştırılıyor.
ÖNCEDEN KÖTÜ AMAÇLI YAZILIM LİSTESİNDE DEĞİLDİ
Remcos, başlangıçta kötü amaçlı yazılım olarak kabul edilmiyordu, yasal bir ticari yazılım olarak uzaktan yönetim görevleri için geliştirilmişti. Ancak, Cobalt Strike gibi, siber suçlular tarafından kötüye kullanıldı ve günümüzde daha çok izinsiz erişim, veri hırsızlığı ve casusluk amaçlarıyla anılmaya başlandı.
Hackerlar tarafından kullanılan bu yeni sürüm ise cihazın belleğine doğrudan yükleniyor: “Remcos dosyasını yerel bir dosya olarak kaydetmek ve çalıştırmak yerine, doğrudan mevcut işlemin belleğine yerleştiriyor,” şeklinde açıklama yaptı Fortinet. Başka bir deyişle, bu sürüm dosyasız bir Remcos varyantıdır.
