Der Bedrohungsakteur UAC-0050 nutzt Phishing-Angriffe, um den Remcos RAT zu verbreiten und verwendet dabei neue Strategien, um die Erkennung durch Sicherheitssoftware zu umgehen. UAC-0050 ist seit 2020 aktiv und zielt auf ukrainische und polnische Unternehmen ab, indem er sich als legitime Organisationen ausgibt und Empfänger dazu verleitet, bösartige Anhänge zu öffnen. In den letzten Monaten wurde der Trojaner als Teil von mindestens drei Phishing-Angriffen verteilt, wobei ein solcher Angriff auch zur Bereitstellung eines Information-Stealer namens Meduza Stealer führte.
Eine Analyse von Uptycs basiert auf einer LNK-Datei, die am 21. Dezember 2023 entdeckt wurde. Obwohl der genaue Zugriffsvektor derzeit unbekannt ist, wird vermutet, dass er Phishing-E-Mails betrifft, die sich an ukrainische Militärangehörige richten und die vorgeben, Beratungspositionen bei den Israelischen Verteidigungsstreitkräften (IDF) anzubieten. Die LNK-Datei sammelt Informationen über installierte Antivirenprodukte auf dem Zielcomputer und ruft dann eine HTML-Anwendung namens „6.hta“ von einem Remote-Server unter Verwendung von mshta.exe, einer nativen Windows-Binärdatei zum Ausführen von HTA-Dateien, ab. Dieser Schritt bereitet den Weg für ein PowerShell-Skript, das ein weiteres PowerShell-Skript entpackt, um zwei Dateien namens „word_update.exe“ und „ofer.docx“ von der Domain new-tech-savvy[.]com herunterzuladen. Die Ausführung von word_update.exe erstellt eine Kopie von sich selbst mit dem Namen fmTask_dbg.exe und etabliert Persistenz, indem es eine Verknüpfung zur neuen ausführbaren Datei im Windows-Startordner erstellt.
Die Binärdatei verwendet auch unbenannte Pipes, um den Datenaustausch zwischen sich selbst und einem neu gestarteten Kindprozess für cmd.exe zu erleichtern, um schließlich den Remcos RAT (Version 4.9.2 Pro) zu entschlüsseln und zu starten. Dieser ist in der Lage, Systemdaten, Cookies und Anmeldeinformationen von Webbrowsers wie Internet Explorer, Mozilla Firefox und Google Chrome zu sammeln. „Die Verwendung von Pipes im Windows-Betriebssystem bietet einen verdeckten Kanal für den Datentransfer und umgeht geschickt die Erkennung durch Endpoint Detection and Response (EDR) und Antiviren-Systeme“, sagten die Forscher. „Obwohl nicht völlig neu, markiert diese Technik einen bedeutenden Fortschritt in der Raffinesse der Strategien der Gruppe.“