遠控木馬Remcos新變種改變傳播策略，開始走網絡釣魚電子郵件路線

網絡安全公司趨勢科技（Trend Micro）于近日發文稱，他們在上個月捕獲到了一封偽裝成新訂單通知的釣魚電子郵件，包含在其中的惡意附件攜帶了一種名為“Remcos”的遠程訪問木馬（RAT，Remote Access Trojan）。

趨勢科技表示，Remcos RAT于2016年首次出現，在當時被其開發者作為即服務在暗網黑客論壇上出售。在2017年，Remcos RAT主要通過惡意PowerPoint幻燈片傳播，其中包含了針對CVE-2017-0199的漏洞利用程序。

最新捕獲的樣本表明，攻擊者似乎已經更換了Remcos RAT的傳播媒介——開始使用網絡釣魚電子郵件。

趨勢科技捕獲的釣魚電子郵件樣本使用了電子郵箱地址“rud-division@alkuhaimi[.]com”以及主題“RE: NEW ORDER 573923”，惡意附件的文件名為“Purchase order201900512.ace”，一個ACE壓縮文件，其中包含了AutoIt加載程序/打包器Boom.exe。

分析加載程序/打包器Boom.exe

將可執行文件轉換為AutoIt腳本后，趨勢科技發現惡意代碼經過了多層混淆，核心函數如下圖1所示：

圖1.經過混淆處理的核心函數

圖2.用于去混淆的函數

Boom.exe文件主要負責在受感染系統上實現持久性、執行反分析檢測以及釋放并執行Remcos RAT。圖2中的代碼段首先會計算出數組中的值，然后使用函數“ChrW()”將Unicode碼轉換成字符。

圖3.字符串解碼示例

在某些情況下，惡意軟件在解密后會使用名為“BinaryToString()”的AutoIt函數對下一層進行去混淆處理，如圖4所示：

圖4. AutoIt代碼解碼為字符串

在去混淆后，可以看到AutoIt代碼包含了大量用于阻礙分析的垃圾代碼。

圖5.垃圾代碼示例

接下來，惡意軟件將在“%AppData%RoamingappidapiUevTemplateBaselineGenerator.exe”中創建自己的副本，并從其資源部分加載主有效載荷（Remcos RAT）。

然后，惡意軟件將準備環境來執行主有效載荷——通過執行以下Shellcode（frenchy_shellcode version 1）來實現這一點：

圖6.Frenchy_ShellCode_001

圖7.執行并解碼Frenchy Shellcode

圖8. Frenchy Shellcode變種

Remcos RAT的解碼和加載由函數“DecData()”負責，它首先會從其資源部分加載數據，然后反轉所有數據并將“%$=”替換為“/”。

圖9. AutoIt解碼主有效載荷：代碼+編碼資源（Remcos RAT）

圖10. AutoIt解碼主有效載荷：僅限代碼

然后，它將使用如下代碼解碼base64 PE文件，即主有效載荷：

$a_call = DllCall(“Crypt32.dll”, “int”, “CryptStringToBinary”, “str”, $sData, “int”, 0, “int”, 1, “ptr”, 0, “ptr”, DllStructGetPtr($struct, 1), “ptr”, 0, “ptr”, 0)