Son dönemde giderek yaygınlaşan yeni bir kötü amaçlı yazılım doğrudan Excel dosyalarında saklanıyor. Fortinet'in yaptığı araştırmaya göre kötü niyetli kişiler Excel belgelerini kullanarak Remcos Uzaktan Erişim Truva Atı’nın (RAT) dosyasız bir sürümünü dağıtıyor. Bu yeni kötü amaçlı yazılımın hedefi ise şaşırtıcı olmayan bir şekilde kullanıcıların hassas bilgilerini ele geçirmek.
Yeni saldırı yöntemi, kullanıcıların dikkatini çekmek için sahte satın alım siparişleri içeren phishing diye bildiğimixz e-postalar gönderilmesiyle başlıyor. E-posta ekinde Microsoft Office uygulamasında bulunan ve CVE-2017-0199 koduyla bilinen bir güvenlik açığından yararlanan bir Excel dosyası yer alıyor.
Yeni saldırı yöntemi nasıl gerçekleşiyor?
Bu dosya açıldığında sistem, uzaktaki bir sunucudan bir HTML Uygulaması (HTA) dosyası indiriyor ve bu dosya mshta.exe aracı kullanılarak başlatılıyor. Bu işlem sonucunda sunucudan ikinci bir yük indiriliyor ve bu yük, analiz ve hata ayıklama tespitini önleyerek Remcos RAT’ın kurulmasına olanak sağlıyor.
Remcos RAT, esasında yasa dışı bir yazılım olarak geliştirilmemişti. İlk olarak yasal yollardan uzaktan yönetim gibi görevlerde kullanılmak üzere geliştirilmiş bir yazılımdı ancak tıpkı Cobalt Strike gibi kötü niyetli kişiler tarafından ele geçirilerek kötü amaçlı faaliyetlerde kullanılmaya başlandı.
Remcos RAT neler yapabiliyor?
Günümüzde ise Remcos yetkisiz erişim sağlamak, veri çalmak ve casusluk amacıyla kullanılan bir araç hâline geldi. Remcos RAT bulaşmış bir bilgisayardaki klavye hareketleri kaydedilebilir, ekran görüntüleri alınabilir ve komut çalıştırılabilir.
Yeni yöntemde kullanılan Remcos sürümü dosyasız bir yapıya sahip. Fortinet, saldırganların Remcos'u doğrudan hedef cihazın belleğine yerleştirdiğini belirtiyor. Böylece kolay kolay fark edilmiyor ve tespit edilemiyor.