Fałszywy dokument GST i loader Remcos RAT

TL;DR

K7 Labs opisał kampanię phishingową, w której archiwum z plikiem GST Debit Note Apr_26.com prowadziło do uruchomienia wieloetapowego loadera i finalnie do Remcos RAT. Atak wykorzystywał techniki in-memory, czyli wykonywanie w pamięci, oraz steganograficzne ukrywanie kolejnych komponentów w zasobach aplikacji.

To jest materiał na krótki news ekspercki, a nie pełny evergreen. Warto go opisać, bo pokazuje ważny mechanizm: dokument księgowy lub podatkowy nie musi tylko wyłudzać danych logowania. Może być początkiem infekcji, która daje atakującemu zdalny dostęp, kradzież haseł, cookies i danych z przeglądarek.

Dla polskich firm najważniejszy jest nie skrót GST, tylko sam wzorzec. Podobna przynęta mogłaby udawać VAT, JPK, KSeF, korektę faktury, notę obciążeniową, potwierdzenie przelewu albo dokument od kontrahenta.

Jak działa opisany łańcuch ataku

Według K7 Labs infekcja zaczynała się od archiwum dostarczonego w kampanii phishingowej. Po rozpakowaniu pojawiał się plik nazwany GST Debit Note Apr_26.com. Był to 32-bitowy plik .NET, spakowany i niepodpisany, który udawał nieszkodliwą aplikację.

Badacze wskazali, że malware używało zasobów aplikacji do ukrycia kolejnego etapu. Jeden z zasobów zawierał serializowany obiekt .NET Bitmap, który pełnił rolę kontenera dla ukrytego payloadu. Następny komponent, Optimax.dll, był odtwarzany i ładowany bez zapisu na dysk.

Dalej łańcuch prowadził do kolejnych DLL i finalnego payloadu Remcos RAT. Remcos RAT, czyli Remote Access Trojan, może dać atakującemu zdalną kontrolę, monitorowanie aktywności, kradzież danych z przeglądarek, logowanie okien, dostęp do mikrofonu lub kamery oraz wykonywanie poleceń.

Dlaczego to jest ważne dla firm

Dla użytkownika plik podatkowy lub księgowy jest czymś zwyczajnym. Wiele firm codziennie obsługuje faktury, noty, korekty, potwierdzenia przelewów, dokumenty dostaw i załączniki od kontrahentów. Atakujący wykorzystuje tę rutynę.

W takim scenariuszu problemem nie jest tylko kliknięcie. Problemem jest uruchomienie pliku z archiwum, który wygląda jak dokument, ale zachowuje się jak program. Jeżeli pracownik w księgowości, sprzedaży, zakupach albo administracji uruchomi taki plik na stacji roboczej z dostępem do poczty, bankowości lub systemów ERP, skutki mogą wykraczać poza jedno urządzenie.

Techniki in-memory i ukrywanie komponentów utrudniają analizę. Dla SOC oznacza to, że klasyczne wyszukiwanie jednego złośliwego pliku na dysku może nie wystarczyć. Trzeba patrzeć na zachowanie procesu, uruchomienia skryptów, nietypowe wpisy autostartu, połączenia sieciowe i próby obejścia zabezpieczeń.

Polski kontekst: VAT, KSeF, JPK i fałszywe faktury

W Polsce podobny atak może zostać opakowany w język podatkowy albo księgowy. Przestępcy mogą użyć nazw takich jak korekta VAT, nota obciążeniowa, plik KSeF, JPK, potwierdzenie przelewu, wezwanie do zapłaty, faktura końcowa, dokument magazynowy albo rozliczenie transportu.

To szczególnie istotne w okresach zmian procesowych. Jeżeli firma wdraża nowy system faktur, integruje KSeF, zmienia ERP albo porządkuje dokumenty księgowe, użytkownicy częściej spodziewają się nowych formatów, instrukcji i plików. Atakujący może wykorzystać ten moment.

Warto powiązać ten scenariusz z ogólną edukacją o phishingu, ale też z ćwiczeniami dotyczącymi załączników i procesów księgowych. Sama zasada nie klikaj linków jest tu za słaba. Użytkownik musi rozumieć, że archiwum i plik uruchamialny nie są normalnym dokumentem księgowym.

Co powinien zrobić użytkownik

Użytkownik nie powinien uruchamiać plików wykonywalnych z archiwów, nawet jeśli nazwa sugeruje dokument podatkowy, księgowy albo finansowy. Dokument nie powinien wymagać uruchomienia pliku .com, .exe, .vbs, .js, .bat, .cmd, .scr ani podobnego formatu.

Jeżeli plik przyszedł od kontrahenta, trzeba potwierdzić go drugim kanałem, zwłaszcza gdy wiadomość jest nieoczekiwana, presyjna albo dotyczy płatności. Nie należy samodzielnie testować pliku na prywatnym komputerze ani przesyłać go dalej do innych osób.

Jeżeli odbiorca nie ma pewności, powinien zgłosić wiadomość do IT lub Security i poczekać na analizę. W firmie trzeba promować takie zachowanie jako prawidłową reakcję, a nie jako przeszkadzanie działowi IT.

Co powinny zrobić IT, Security i SOC

Zespoły bezpieczeństwa powinny ograniczać uruchamianie niepotrzebnych typów plików, kontrolować archiwa i wzmacniać reguły dla procesów uruchamianych z katalogów tymczasowych, profilu użytkownika i załączników pocztowych.

Warto monitorować techniki typowe dla takich łańcuchów: uruchamianie niepodpisanych plików .NET, ładowanie bibliotek w pamięci, podejrzane PowerShell, modyfikacje autostartu, proces hollowing, obejścia UAC oraz połączenia do nietypowej infrastruktury. EDR powinien patrzeć na sekwencję zachowań, nie tylko na nazwę pliku.

SOC powinien mieć playbook dla załączników księgowych, które okazują się programem. Taki incydent wymaga sprawdzenia kont użytkownika, zapisanych haseł, cookies, aktywnych sesji, klientów pocztowych, bankowości firmowej i systemów finansowych.

Co zrobić, jeśli to już się stało

Jeżeli użytkownik uruchomił plik z archiwum, należy odłączyć urządzenie od sieci i zgłosić incydent. Nie należy czyścić katalogów, kasować plików ani restartować komputera bez uzgodnienia z IT lub Security, bo część artefaktów może być potrzebna do analizy.

Zespół techniczny powinien sprawdzić procesy, wpisy autostartu, nowe pliki w profilu użytkownika, uruchomienia PowerShell, połączenia sieciowe, ślady RAT, kradzież danych z przeglądarek i klientów pocztowych. Jeżeli komputer miał dostęp do systemów finansowych, trzeba sprawdzić również logowania, transakcje i zmiany danych kontrahentów.

Po takim incydencie należy założyć, że hasła i sesje zapisane na urządzeniu mogły zostać przejęte. Konieczny może być reset haseł, unieważnienie sesji, kontrola MFA i dodatkowa weryfikacja płatności.

Jak ćwiczyć ten scenariusz w awareness

W ćwiczeniu można użyć fałszywego dokumentu księgowego, ale celem nie powinno być tylko kliknięcie. Warto mierzyć, czy użytkownik zauważył archiwum, czy sprawdził rozszerzenie, czy rozpoznał plik uruchamialny i czy zgłosił wiadomość przed otwarciem.

Dla działów finansowych, zakupów, księgowości i administracji taki scenariusz jest bardziej realistyczny niż ogólna wiadomość o promocji. Pokazuje, że phishing działa najczęściej wtedy, gdy wpisuje się w normalną pracę.

Konkretna zasada na koniec

Dokument księgowy może być załącznikiem. Nie powinien być programem. Jeżeli faktura, nota albo plik podatkowy po rozpakowaniu wymaga uruchomienia pliku wykonywalnego, proces trzeba zatrzymać i zgłosić, zanim dokument stanie się zdalnym dostępem do firmy.