Дослідники виявили нову кампанію фішингу з трояном Remcos, що маскується під фінансові листи від Wells Fargo чи ACH Payment. Зловмисники використовують захищені паролем Excel-файли для запуску складного ланцюга зараження.

Як це працює? Фішинговий лист із .xls файлом (пароль у листі) містить VB-скрипт, який створює .vbs файл у %AppData%. Цей файл виконує PowerShell, що завантажує додаткові .vbs скрипти з C2-сервера (наприклад, 209.127.19[.]101). Далі PowerShell розпаковує .NET-інжектор і фінальний Remcos RAT, який викрадає дані та забезпечує віддалений доступ.

Що загрожує? Викрадення особистих даних, стеження та персистентність у системі.

Як захиститися?

-Не відкривайте підозрілі Excel-файли з листів.
-Перевірте систему за хешами (наприклад, 8740cdcef9e825fd5105b021e0616a1d6a41f761c92f29127cd000c8500f70e6).
-Використовуйте Morphisec Moving Target Defense для блокування безфайлових атак.
-Оновлюйте антивіруси та уникайте макросів.

Залишайтеся пильними проти фішингових атак!