Excel evrakı görünümlü bir evrak kullanılarak yapılan hack usulü yayılmaya başladı. Araştırmacılar tarafından yapılan teknik tahlilde, hackerların “sipariş” temalı kimlik avı e-postaları gönderdiği belirlendi.
E-postaya eklenen Microsoft Excel evrakı, Office’te yer alan bir uzaktan kod yürütme açığını (CVE-2017-0199) istismar etmek için tasarlanmış olarak çalışıyor.
Bu açık tetiklendiğinde, belge uzak bir sunucudan HTML Uygulaması (HTA) belgesini indirip mshta.exe aracılığıyla çalıştırıyor.
İndirilen bu HTA evrakı, birebir sunucudan ikinci bir ziyanlı yazılım yükleyerek anti-analiz ve anti-hata ayıklama süreçlerini çalıştırıyor. Bu etapların akabinde Remcos RAT yükleniyor ve çalıştırılıyor.
ÖNCEDEN BERBAT EMELLİ YAZILIM LİSTESİNDE DEĞİLDİ
Remcos, başlangıçta berbat hedefli yazılım olarak kabul edilmiyordu, yasal bir ticari yazılım olarak uzaktan idare misyonları için geliştirilmişti. Lakin, Cobalt Strike üzere, siber hatalılar tarafından berbata kullanıldı ve günümüzde daha çok müsaadesiz erişim, bilgi hırsızlığı ve casusluk gayeleriyle anılmaya başlandı.
Hackerlar tarafından kullanılan bu yeni sürüm ise aygıtın belleğine direkt yükleniyor: “Remcos evrakını lokal bir belge olarak kaydetmek ve çalıştırmak yerine, direkt mevcut sürecin belleğine yerleştiriyor,” biçiminde açıklama yaptı Fortinet. Öbür bir deyişle, bu sürüm evraksız bir Remcos varyantıdır.