Ditulis ku Preksha Saxena sareng Yashvi Shah

McAfee Labs geus ngalacak kampanye VBS canggih dicirikeun ku obfuscated Visual Basic Scripting (VBS). Mimitina ngirimkeun malware AgentTesla, kampanyena parantos mekar janten ancaman multi-faceted, ngagunakeun skrip VBS salaku mékanisme pangiriman anu serbaguna. Utamana, kampanye ieu ngalangkungan AgentTesla, anu ayeuna nyebarkeun rupa-rupa malware sapertos Guloader, Remcos RAT, Xworm, sareng Lokibot.

Kampanye ieu ngagambarkeun prosés inféksi komprehensif anu diprakarsai ku file VBS anu dikirim via email. Dimimitian ku aktivasina skrip VBS, éta maju ngaliwatan fase PowerShell, ngagunakeun utilitas BitsTransfer pikeun meunangkeun tahap kadua skrip PowerShell. Shellcode A anu didekodekeun sareng dieksekusi nyumput sareng ngamuat Shellcode B. Dina fase ahir, wab.exe ngaunduh payload Remcos RAT énkripsi. Shellcode B ngadekrip sareng nyuntikkeun kana wab.exe, ngajantenkeun fungsina salaku RAT Remcos.

Kampanye anu dititénan ieu kasohor nargétkeun sababaraha daérah di sakumna dunya. Di handap ieu mangrupa peta panas géografis illustrating konsumén McAfee geus sasaran na disimpen salila tilu bulan kaliwat.

Gambar 1: Peta Panas Géografis nunjukkeun daérah anu dituju.

Dina postingan blog anu diulas, aktor jahat ngungkit GuLoader pikeun nyebarkeun Remcos RAT.

Ranté palaksanaan

Gambar 2: Ranté inféksi

Palaksanaan dimimitian ku ngajalankeun skrip VBS. teras micu tahap mimiti palaksanaan PowerShell. Salajengna, utilitas BitsTransfer dianggo pikeun nyandak PowerShell tahap kadua disandi base64.

Tahap kadua PowerShell teras disandi sareng dieksekusi. Sanggeus ieu, Shellcode Kahiji sacara saksama engraved jeung reflectively dimuat. Shellcode kadua disandikeun dina Shellcode A ngalaman decoding sarta ogé dimuat reflectively.

Léngkah ahir ngalibatkeun Shellcode kadua anu dianggo pikeun nyandak sareng nyelapkeun RAT Remcos (Remote Control and Surveillance Tool) kana prosés Windows anu sah. Dina hal ieu, wab.exe. Set kompleks tindakan ieu ngamungkinkeun panyebaran sareng operasi Remcos RAT cicingeun dina lingkungan Windows.

Gambar 3: Tangkal Prosés

Ihtisar Téknis VBScript Obfuscated:

Tahap 1: (Nyumputkeun vbs)

Digantelkeun kana email aya file ZIP anu katingalina dilabélan “revisi_quotation_for_purchase_invoice_order_design_6th_november_2023“, nyarupaan invoice ka pamaké. Tujuanana, sakumaha ogé surelek curang sejen, nyaéta pikeun nyegah panarima tina examining email taliti.

Di jero kantétan file pos aya file VBS anu kabur pisan. Skrip VBS ngagunakeun sababaraha téknik pikeun nyieun analisis rada hésé. Cai mibanda loba variabel sampah, fungsi decoy, sarta komentar teu perlu, sarta sakabeh fungsi bahaya anu obfuscated.

Gambar 4: Aksara Kacida obfuscated

Kodeu mucunghul disederhanakeun sanggeus miceun garis kaleuleuwihan, hasilna versi leuwih singket tur efisien. Saatos ngahapus sadaya koméntar, skrip sapertos kieu:

angka 5: Post-ngahapus kode junk

Dina naskah, éta sering kajadian yén string anyar ditambahkeun kana variabel “Fu6”. Metoda ieu boga fungsi pikeun ngaronjatkeun pajeulitna analisis. Sakali sadaya senar dihijikeun sareng diformat, hasilna bakal muncul dina cara anu langkung pikaresepeun. Ditémbongkeun saperti dina gambar di handap ieu.

Gambar 6: Saatos deobfuscating kode

Fungsi “Mikr9” bakal nanganan konvérsi senar, sahingga tiasa dibaca. Urang ngarobah sakabeh garis kana format bisa dibaca, kalayan bantuan fungsi “Fu6”. Contona, ditémbongkeun saperti dina Gambar 5, string

‘DelfhAdvetFagstStatpYapp:Miss/fisk/Indh1 Sic0 Tra3parc. Mon1Gens7Vide6Eufo.Tast1Outs1Midd1afte.Dors1husg6 Hal3Beja/ Hypm RenuColonSprgdNasahToasuRafflchon.GyttpBrnefMuckbAcci ‘janten http://103.176.111.1[.]163/mundhul.pfb.

Nya kitu, sakabéh naskah didekodekeun, sareng urang nampi skrip ieu:

angka 7: Saatos nerapkeun Mikr9 () fungsi dekripsi

Naskah ngalaksanakeun runtuyan kagiatan ieu:

  • Retrieves file tingkat kadua ti “hxxp://103.176.111[.]163/mundhul.pfb” ngagunakeun BitsTransfer.
  • Simpen file anu dicandak dina folder Appdata.
  • Decodes file tina Base64, ngarobah kana format string.
  • Napigasi pikeun ngimbangan 229981 sareng nimba 28050 unit data salajengna.
  • Executes data sasari maké IEX (Invoke-Expression).

Tahap 2:

Palaksanaan Powershell

File anu direbut nunjukkeun deteksi nol dina VT, katingalina disandi base64, sareng ukuranana 336KB.

Gambar 8: Aksara Powershell Kadua

Gambar 9: Base64 eusi disandikeun

Saatos decoding “mundhul.pfb,” analisa lengkep tiasa dilakukeun pikeun ngartos fungsina, ngamungkinkeun pamariksaan salajengna ngeunaan palaksanaan malware. Sakali file ieu decoded, eta mintonkeun kode nu nyarupaan gambar disadiakeun di handap.

angka 10: Base64 decoded data

Sakumaha anu dijelaskeun dina naskah, laksanakeun luncat pikeun ngimbangan 229981 sareng kéngingkeun 28050 unit data salajengna. Ieu nandaan mimiti skrip PowerShell kadua, nyaéta 28050 bait, ditandaan kieu.

Gambar 11: Mimitian ti PowerShell énkripsi kadua

Kodeu ngandung rupa-rupa koméntar, ku kituna urang turutan prosedur anu sami, sapertos anu urang lakukeun dina naskah anu munggaran, ngaleungitkeun sadaya kode sampah sareng kami nampi fungsi anu sigana pikeun nanganan dekripsi sadaya senar.

Gambar 12: Sanggeus miceun runtah

Prosés dekripsi diulang sababaraha kali pikeun nembongkeun string, sarta malware ngagunakeun métode “Invoke” pikeun ngaéksekusi paréntah na. Saatos decoding sadaya senar ngagunakeun fungsi “Bedroges02”, urang tungtungna meunang maksud naskah.

Gambar 13: Sanggeus nerapkeun logika dekripsi

Skrip PowerShell mimitina ngamuat fungsi VirtualAlloc () jeung nyimpen memori handles dina variabel ngaranna “trll3” jeung “Akuammin195”. Bagian ieu ngagaduhan idin pikeun nyerat, maca, sareng ngaéksekusi. Bagéan terakhir tina skrip sigana ngajantenkeun shellcode anu disumputkeun di jerona.

Urutan eksekusi ngalibatkeun nyalin bait saperti kieu: 644 bait munggaran ti mimiti skrip PowerShell ieu mangrupakeun kode cangkang munggaran. Salajengna, mimitian ti bait 644, naskah nyalin 229337 bait salajengna, nyaéta kode cangkang kadua.

angka 14: Ngagambarkeun shellcode

Saatos sekuen palaksanaan, malware ngamimitian nelepon API CallWindowProcA, anu teras nyababkeun panyebaran fungsi asli NtProtectVirtualMemory. Lajeng prosés transisi langsung ka inisiasi shellcode munggaran.

Tahap 3: Palaksanaan Shellcode-A

Peta utama shellcode-A ngalibatkeun nyalin shellcode B kana memori, sakumaha digambarkeun dina gambar di handap ieu.

Gambar 15: Loop dipaké pikeun nyalin shellcode B urang

Shellcode B ngalaman dekripsi ngaliwatan operasi XOR. Operasi ieu fungsi pikeun ngarobah kodeu kana formulir executable, sahingga kode cangkang decrypted sangkan ngaéksekusi parentah dimaksudkeun na dina memori sistem.

Gambar 16: Gelung dékripsi dipaké pikeun ngadékripsi shellcode B

Tahap 4: Shellcode-B

Shellcode dirancang pikeun nyieun prosés anyar disebut “wab.exe” sarta ngayakeun réplikasi 0x3FC4000 bait tina shellcode decrypted kana spasi memori na. Salaku ditémbongkeun ku kotak biru disorot, eusi decrypted tina shellcode kadua (ditémbongkeun dina Gambar 15) lajeng fed kana prosés wab.exe (ditémbongkeun dina Gambar 16).

angka 17: suntik shellcode kadua

Tujuan tina shellcode nyaéta pikeun nyandak RAT Remcos tina URL anu ditangtukeun,”hxxp://103.176.111.163/lnHxQotdQb132.bin” terus selapkeun kana prosés “wab.exe”. Sakali “wab.exe” disuntik ku payload ahir, éta ngalaksanakeun sagala kagiatan jahat.

angka 18: wab.exe disambungkeun ka C2

Berkas anu dicandak tina URL anu disayogikeun sigana binér énkripsi. Saatos dekripsi, éta diidentifikasi pikeun ngamimitian komunikasi sareng alamat IP 94.156.65.197 via port 2404. Observasi ngungkabkeun nyiptakeun mutex anu dingaranan “Rmc-R7V4VM.” Data nu keylog log salila operasi disimpen dina file dilabélan “logs.dat.” Salaku tambahan, Potret layar anu dicandak disimpen dina diréktori anu dingaranan “Screenshots,” sedengkeun gudang sakabéh pikeun data anu dikumpulkeun judulna “Remcos.”

kacindekan

kampanye ieu outlines prosés inféksi komprehensif diprakarsai ku file VBS narima via email. Prosésna dimimitian ku aktivasina skrip VBS, ngamimitian fase PowerShell awal. Salajengna, utilitas BitsTransfer dianggo pikeun nyandak tahap kadua skrip PowerShell, disandikeun dina base64. Saatos decoding sareng palaksanaan, Shellcode munggaran sacara saksama diekstrak sareng dimuat sacara reflektif. Dina waktos anu sami, Shellcode A nyumput sareng ngamuat Shellcode B anu didekodekeun.

Dina fase ahir, wab.exe anu disuntikkeun teraskeun pikeun ngaunduh payload énkripsi akhir tina RAT Remcos. Shellcode B tanggung jawab pikeun ngadekrip payload, teras disuntikkeun kana wab.exe. Nyaéta, conto khusus wab.exe ieu fungsina salaku RAT Remcos.

VBScript dina Lingkungan Windows: Perspektif Kaamanan

VBScript, diwanohkeun ku Microsoft taun 1996, penting pisan dina lingkungan Windows salaku basa skrip pikeun otomatisasi tugas, terpadu pisan sareng Internet Explorer, sareng komponén konci téknologi sapertos Windows Script Host, Active Server Pages, sareng automation Office. Éta nyayogikeun solusi skrip saderhana pikeun tugas sistem, pamekaran wéb, sareng logika sisi server. Microsoft henteu deui nganggo VBScript, sareng éta bakal sayogi salaku fitur on-demand sateuacan antukna dipiceun tina Windows, saur perusahaan. Kaputusan ieu saluyu sareng strategi anu langkung lega pikeun ngirangan kampanye malware anu ngeksploitasi fitur Windows sareng Office. VBScript, anu parantos ditumpurkeun sacara standar dina Internet Explorer 11 ti saprak 2019, parantos dianggo ku penjahat pikeun nyebarkeun malware, sareng Microsoft tujuanana pikeun ningkatkeun kaamanan ku ngaleungitkeun vektor inféksi ieu. Panyerang ngamangpaatkeun kerentanan dina téknologi anu henteu dianggo deui kusabab sistem warisan, nyerep apdet anu lambat, aplikasi niche, syarat industri anu ketat, sareng résistansi pangguna pikeun ngarobih. Pikeun ngirangan résiko, léngkah-léngkah proaktif sapertos apdet gancang, pendidikan kaamanan, sareng tetep terang ngeunaan daur hirup parangkat lunak penting.

Mitigasi:

Ngahindarkeun korban tina email phishing ngalibatkeun pendekatan anu waspada sareng ati-ati. Ieu sababaraha prakték umum pikeun ngabantosan nyegah korban tina email phishing:

  • Pariksa Émbaran Pangirim
  • Pikir Sateuacan Anjeun Klik
  • Pariksa Éjahan jeung Grammar
  • Ati-ati sareng Eusi Surélék
  • Pariksa Requests mahiwal
  • Larapkeun Saringan Email
  • Pariksa Sambungan Aman
  • Laporkeun Surélék Curiga
  • Salawasna tetep software up to date
  • Sajajar sareng patch kaamanan

IOC

file VBS 6fdd246520eebb59e37a7cd544477567b405a11e118b7754ff0d4a89c01251e4
PowerShell kadua 5d21216a92ffea5b8ba70f48f9bcbb8a530a9b272423ae3ba519dbf74a905a65
beban ahir 7d947df412e78a595029121ecaf9d8a88e69175cffd1f2d75d31e3ca8995c978
URL1 hxxp://103.176.111[.]163/mundhul.pfb
URL2 hxxp://103.176.111[.]163/lnHxQotdQb132.bin
alamat IP 103.176.111[.]163
alamat IP 94.156.65[.]197
mutex Rmc-R7V4VM

Nepangkeun McAfee+

Maling identitas sareng panyalindungan privasi pikeun kahirupan digital anjeun


#Surélék #RAT #Decoding #Kampanye #Berbasis #Aksara

Ditulis ku Preksha Saxena sareng Yashvi Shah

McAfee Labs geus ngalacak kampanye VBS canggih dicirikeun ku obfuscated Visual Basic Scripting (VBS). Mimitina ngirimkeun malware AgentTesla, kampanyena parantos mekar janten ancaman multi-faceted, ngagunakeun skrip VBS salaku mékanisme pangiriman anu serbaguna. Utamana, kampanye ieu ngalangkungan AgentTesla, anu ayeuna nyebarkeun rupa-rupa malware sapertos Guloader, Remcos RAT, Xworm, sareng Lokibot.

Kampanye ieu ngagambarkeun prosés inféksi komprehensif anu diprakarsai ku file VBS anu dikirim via email. Dimimitian ku aktivasina skrip VBS, éta maju ngaliwatan fase PowerShell, ngagunakeun utilitas BitsTransfer pikeun meunangkeun tahap kadua skrip PowerShell. Shellcode A anu didekodekeun sareng dieksekusi nyumput sareng ngamuat Shellcode B. Dina fase ahir, wab.exe ngaunduh payload Remcos RAT énkripsi. Shellcode B ngadekrip sareng nyuntikkeun kana wab.exe, ngajantenkeun fungsina salaku RAT Remcos.

Kampanye anu dititénan ieu kasohor nargétkeun sababaraha daérah di sakumna dunya. Di handap ieu peta panas géografis illustrating konsumén McAfee geus sasaran na disimpen salila tilu bulan panungtungan.

Gambar 1: Peta Panas Géografis nunjukkeun daérah anu dituju.

Dina postingan blog anu diulas, aktor jahat ngungkit GuLoader pikeun nyebarkeun Remcos RAT.

Ranté palaksanaan

Gambar 2: Ranté inféksi

Palaksanaan dimimitian ku ngajalankeun skrip VBS. teras micu tahap mimiti palaksanaan PowerShell. Salajengna, utilitas BitsTransfer dianggo pikeun nyandak PowerShell tahap kadua disandi base64.

Tahap kadua PowerShell teras disandi sareng dieksekusi. Sanggeus ieu, Shellcode Kahiji sacara saksama engraved jeung reflectively dimuat. Shellcode kadua disandikeun dina Shellcode A ngalaman decoding sarta ogé dimuat reflectively.

Léngkah ahir ngalibatkeun Shellcode kadua anu dianggo pikeun nyandak sareng nyelapkeun RAT Remcos (Remote Control and Surveillance Tool) kana prosés Windows anu sah. Dina hal ieu, wab.exe. Set kompleks tindakan ieu ngamungkinkeun panyebaran sareng operasi Remcos RAT cicingeun dina lingkungan Windows.

Gambar 3: Tangkal Prosés

Ihtisar Téknis VBScript Obfuscated:

Tahap 1: (Nyumputkeun vbs)

Digantelkeun kana email aya file ZIP anu katingalina dilabélan “revisi_quotation_for_purchase_invoice_order_design_6th_november_2023“, nyarupaan invoice ka pamaké. Tujuanana, sakumaha ogé surelek curang sejen, nyaéta pikeun nyegah panarima tina examining email taliti.

Di jero kantétan file pos aya file VBS anu kabur pisan. Skrip VBS ngagunakeun sababaraha téknik pikeun nyieun analisis rada hésé. Cai mibanda loba variabel sampah, fungsi decoy, sarta komentar teu perlu, sarta sakabeh fungsi bahaya anu obfuscated.

Gambar 4: Aksara Kacida obfuscated

Kodeu mucunghul disederhanakeun sanggeus miceun garis kaleuleuwihan, hasilna versi leuwih singket tur efisien. Saatos ngahapus sadaya koméntar, skrip sapertos kieu:

angka 5: Post-ngahapus kode junk

Dina naskah, éta sering kajadian yén string anyar ditambahkeun kana variabel “Fu6”. Metoda ieu boga fungsi pikeun ngaronjatkeun pajeulitna analisis. Sakali sadaya senar dihijikeun sareng diformat, hasilna bakal muncul dina cara anu langkung pikaresepeun. Ditémbongkeun saperti dina gambar di handap ieu.

Gambar 6: Saatos deobfuscating kode

Fungsi “Mikr9” bakal nanganan konvérsi senar, sahingga tiasa dibaca. Urang ngarobah sakabeh garis kana format bisa dibaca, kalayan bantuan fungsi “Fu6”. Contona, ditémbongkeun saperti dina Gambar 5, string

‘DelfhAdvetFagstStatpYapp:Miss/fisk/Indh1 Sic0 Tra3parc. Mon1Gens7Vide6Eufo.Tast1Outs1Midd1afte.Dors1husg6 Hal3Beja/ Hypm RenuColonSprgdNasahToasuRafflchon.GyttpBrnefMuckbAcci ‘janten http://103.176.111.1[.]163/mundhul.pfb.

Nya kitu, sakabéh naskah didekodekeun, sareng urang nampi skrip ieu:

angka 7: Saatos nerapkeun Mikr9 () fungsi dekripsi

Naskah ngalaksanakeun runtuyan kagiatan ieu:

  • Retrieves file tingkat kadua ti “hxxp://103.176.111[.]163/mundhul.pfb” ngagunakeun BitsTransfer.
  • Simpen file anu dicandak dina folder Appdata.
  • Decodes file tina Base64, ngarobah kana format string.
  • Napigasi pikeun ngimbangan 229981 sareng nimba 28050 unit data salajengna.
  • Executes data sasari maké IEX (Invoke-Expression).

Tahap 2:

Palaksanaan Powershell

File anu direbut nunjukkeun deteksi nol dina VT, katingalina disandi base64, sareng ukuranana 336KB.

Gambar 8: Aksara Powershell Kadua

Gambar 9: Base64 eusi disandikeun

Saatos decoding “mundhul.pfb,” analisa lengkep tiasa dilakukeun pikeun ngartos fungsina, ngamungkinkeun pamariksaan salajengna ngeunaan palaksanaan malware. Sakali file ieu decoded, eta mintonkeun kode nu nyarupaan gambar disadiakeun di handap.

angka 10: Base64 decoded data

Sakumaha anu dijelaskeun dina naskah, laksanakeun luncat pikeun ngimbangan 229981 sareng kéngingkeun 28050 unit data salajengna. Ieu nandaan mimiti skrip PowerShell kadua, nyaéta 28050 bait, ditandaan kieu.

Gambar 11: Mimitian ti PowerShell énkripsi kadua

Kodeu ngandung rupa-rupa koméntar, ku kituna urang turutan prosedur anu sami, sapertos anu urang lakukeun dina naskah anu munggaran, ngaleungitkeun sadaya kode sampah sareng kami nampi fungsi anu sigana pikeun nanganan dekripsi sadaya senar.

Gambar 12: Sanggeus miceun runtah

Prosés dekripsi diulang sababaraha kali pikeun nembongkeun string, sarta malware ngagunakeun métode “Invoke” pikeun ngaéksekusi paréntah na. Saatos decoding sadaya senar ngagunakeun fungsi “Bedroges02”, urang tungtungna meunang maksud naskah.

Gambar 13: Sanggeus nerapkeun logika dekripsi

Skrip PowerShell mimitina ngamuat fungsi VirtualAlloc () jeung nyimpen memori handles dina variabel ngaranna “trll3” jeung “Akuammin195”. Bagian ieu ngagaduhan idin pikeun nyerat, maca, sareng ngaéksekusi. Bagéan terakhir tina skrip sigana ngajantenkeun shellcode anu disumputkeun di jerona.

Urutan eksekusi ngalibatkeun nyalin bait saperti kieu: 644 bait munggaran ti mimiti skrip PowerShell ieu mangrupakeun kode cangkang munggaran. Salajengna, mimitian ti bait 644, naskah nyalin 229337 bait salajengna, nyaéta kode cangkang kadua.

angka 14: Ngagambarkeun shellcode

Saatos sekuen palaksanaan, malware ngamimitian nelepon API CallWindowProcA, anu teras nyababkeun panyebaran fungsi asli NtProtectVirtualMemory. Lajeng prosés transisi langsung ka inisiasi shellcode munggaran.

Tahap 3: Palaksanaan Shellcode-A

Peta utama shellcode-A ngalibatkeun nyalin shellcode B kana memori, sakumaha digambarkeun dina gambar di handap ieu.

Gambar 15: Loop dipaké pikeun nyalin shellcode B urang

Shellcode B ngalaman dekripsi ngaliwatan operasi XOR. Operasi ieu fungsi pikeun ngarobah kodeu kana formulir executable, sahingga kode cangkang decrypted sangkan ngaéksekusi parentah dimaksudkeun na dina memori sistem.

Gambar 16: Gelung dékripsi dipaké pikeun ngadékripsi shellcode B

Tahap 4: Shellcode-B

Shellcode dirancang pikeun nyieun prosés anyar disebut “wab.exe” sarta ngayakeun réplikasi 0x3FC4000 bait tina shellcode decrypted kana spasi memori na. Salaku ditémbongkeun ku kotak biru disorot, eusi decrypted tina shellcode kadua (ditémbongkeun dina Gambar 15) lajeng fed kana prosés wab.exe (ditémbongkeun dina Gambar 16).

angka 17: suntik shellcode kadua

Tujuan tina shellcode nyaéta pikeun nyandak RAT Remcos tina URL anu ditangtukeun,”hxxp://103.176.111.163/lnHxQotdQb132.bin” terus selapkeun kana prosés “wab.exe”. Sakali “wab.exe” disuntik ku payload ahir, éta ngalaksanakeun sagala kagiatan jahat.

angka 18: wab.exe disambungkeun ka C2

Berkas anu dicandak tina URL anu disayogikeun sigana binér énkripsi. Saatos dekripsi, éta diidentifikasi pikeun ngamimitian komunikasi sareng alamat IP 94.156.65.197 via port 2404. Observasi ngungkabkeun nyiptakeun mutex anu dingaranan “Rmc-R7V4VM.” Data nu keylog log salila operasi disimpen dina file dilabélan “logs.dat.” Salaku tambahan, Potret layar anu dicandak disimpen dina diréktori anu dingaranan “Screenshots,” sedengkeun gudang sakabéh pikeun data anu dikumpulkeun judulna “Remcos.”

kacindekan

kampanye ieu outlines prosés inféksi komprehensif diprakarsai ku file VBS narima via email. Prosésna dimimitian ku aktivasina skrip VBS, ngamimitian fase PowerShell awal. Salajengna, utilitas BitsTransfer dianggo pikeun nyandak tahap kadua skrip PowerShell, disandikeun dina base64. Saatos decoding sareng palaksanaan, Shellcode munggaran sacara saksama diekstrak sareng dimuat sacara reflektif. Dina waktos anu sami, Shellcode A nyumput sareng ngamuat Shellcode B anu didekodekeun.

Dina fase ahir, wab.exe anu disuntikkeun teraskeun pikeun ngaunduh payload énkripsi akhir tina RAT Remcos. Shellcode B tanggung jawab pikeun ngadekrip payload, teras disuntikkeun kana wab.exe. Nyaéta, conto khusus wab.exe ieu fungsina salaku RAT Remcos.

VBScript dina Lingkungan Windows: Perspektif Kaamanan

VBScript, diwanohkeun ku Microsoft taun 1996, penting pisan dina lingkungan Windows salaku basa skrip pikeun otomatisasi tugas, terpadu pisan sareng Internet Explorer, sareng komponén konci téknologi sapertos Windows Script Host, Active Server Pages, sareng automation Office. Éta nyayogikeun solusi skrip saderhana pikeun tugas sistem, pamekaran wéb, sareng logika sisi server. Microsoft henteu deui nganggo VBScript, sareng éta bakal sayogi salaku fitur on-demand sateuacan antukna dipiceun tina Windows, saur perusahaan. Kaputusan ieu saluyu sareng strategi anu langkung lega pikeun ngirangan kampanye malware anu ngeksploitasi fitur Windows sareng Office. VBScript, anu parantos ditumpurkeun sacara standar dina Internet Explorer 11 ti saprak 2019, parantos dianggo ku penjahat pikeun nyebarkeun malware, sareng Microsoft tujuanana pikeun ningkatkeun kaamanan ku ngaleungitkeun vektor inféksi ieu. Panyerang ngamangpaatkeun kerentanan dina téknologi anu henteu dianggo deui kusabab sistem warisan, nyerep apdet anu lambat, aplikasi niche, syarat industri anu ketat, sareng résistansi pangguna pikeun ngarobih. Pikeun ngirangan résiko, léngkah-léngkah proaktif sapertos apdet gancang, pendidikan kaamanan, sareng tetep terang ngeunaan daur hirup parangkat lunak penting.

Mitigasi:

Ngahindarkeun korban tina email phishing ngalibatkeun pendekatan anu waspada sareng ati-ati. Ieu sababaraha prakték umum pikeun ngabantosan nyegah korban tina email phishing:

  • Pariksa Émbaran Pangirim
  • Pikir Sateuacan Anjeun Klik
  • Pariksa Éjahan jeung Grammar
  • Ati-ati sareng Eusi Surélék
  • Pariksa Requests mahiwal
  • Larapkeun Saringan Email
  • Pariksa Sambungan Aman
  • Laporkeun Surélék Curiga
  • Salawasna tetep software up to date
  • Sajajar sareng patch kaamanan

IOC

file VBS 6fdd246520eebb59e37a7cd544477567b405a11e118b7754ff0d4a89c01251e4
PowerShell kadua 5d21216a92ffea5b8ba70f48f9bcbb8a530a9b272423ae3ba519dbf74a905a65
beban ahir 7d947df412e78a595029121ecaf9d8a88e69175cffd1f2d75d31e3ca8995c978
URL1 hxxp://103.176.111[.]163/mundhul.pfb
URL2 hxxp://103.176.111[.]163/lnHxQotdQb132.bin
alamat IP 103.176.111[.]163
alamat IP 94.156.65[.]197
mutex Rmc-R7V4VM

Nepangkeun McAfee+

Maling identitas sareng panyalindungan privasi pikeun kahirupan digital anjeun


#Surélék #RAT #Decoding #Kampanye #Berbasis #Aksara #VBS