远控木马Remcos新变种改变传播策略，开始走网络钓鱼电子邮件路线 _Remcos

文章插图

网络安全公司趋势科技（Trend Micro）于近日发文称，他们在上个月捕获到了一封伪装成新订单通知的钓鱼电子邮件，包含在其中的恶意附件携带了一种名为“Remcos”的远程访问木马（RAT，Remote Access Trojan）。
趋势科技表示，Remcos RAT于2016年首次出现，在当时被其开发者作为即服务在暗网黑客论坛上出售。在2017年，Remcos RAT主要通过恶意PowerPoint幻灯片传播，其中包含了针对CVE-2017-0199的漏洞利用程序。
最新捕获的样本表明，攻击者似乎已经更换了Remcos RAT的传播媒介——开始使用网络钓鱼电子邮件。
趋势科技捕获的钓鱼电子邮件样本使用了电子邮箱地址“rud-division@alkuhaimi[.]com”以及主题“RE: NEW ORDER 573923”，恶意附件的文件名为“Purchase order201900512.ace”，一个ACE压缩文件，其中包含了AutoIt加载程序/打包器Boom.exe 。
分析加载程序/打包器Boom.exe将可执行文件转换为AutoIt脚本后，趋势科技发现恶意代码经过了多层混淆，核心函数如下图1所示：

文章插图
图1.经过混淆处理的核心函数

文章插图
图2.用于去混淆的函数
Boom.exe文件主要负责在受感染系统上实现持久性、执行反分析检测以及释放并执行Remcos RAT 。图2中的代码段首先会计算出数组中的值，然后使用函数“ChrW()”将Unicode码转换成字符。

文章插图
图3.字符串解码示例
在某些情况下，恶意软件在解密后会使用名为“BinaryToString()”的AutoIt函数对下一层进行去混淆处理，如图4所示：

文章插图
图4. AutoIt代码解码为字符串
在去混淆后，可以看到AutoIt代码包含了大量用于阻碍分析的垃圾代码。

文章插图
图5.垃圾代码示例
接下来，恶意软件将在“%AppData%RoamingappidapiUevTemplateBaselineGenerator.exe”中创建自己的副本，并从其资源部分加载主有效载荷（Remcos RAT）。
然后，恶意软件将准备环境来执行主有效载荷——通过执行以下Shellcode（frenchy_shellcode version 1）来实现这一点：

文章插图
图6.Frenchy_ShellCode_001

文章插图
图7.执行并解码Frenchy Shellcode

文章插图
图8. Frenchy Shellcode变种
Remcos RAT的解码和加载由函数“DecData()”负责，它首先会从其资源部分加载数据，然后反转所有数据并将“%$=”替换为“/” 。

文章插图
图9. AutoIt解码主有效载荷：代码+编码资源（Remcos RAT）

文章插图
图10. AutoIt解码主有效载荷：仅限代码
然后，它将使用如下代码解码base64 PE文件，即主有效载荷：
$a_call = DllCall(“Crypt32.dll”, “int”, “CryptStringToBinary”, “str”, $sData, “int”, 0, “int”, 1, “ptr”, 0, “ptr”, DllStructGetPtr($struct, 1), “ptr”, 0, “ptr”, 0)