Вектор заражения основан на загрузке ZIP-архивов с маскировкой под налоговые документы — внутри таких архивов скрываются LNK-файлы, замаскированные под ярлыки к Office-документам.
На первом этапе атаки используется легитимный системный компонент Windows — «mshta.exe», предназначенный для запуска HTML-приложений (HTA), пишет Securitylab. Через него загружается удалённый HTA-файл под названием «xlab22.hta», содержащий код на VBScript. Этот код загружает PowerShell-скрипт, PDF-приманку и ещё один HTA-файл — «311.hta», который регистрируется в автозагрузке Windows с помощью изменения системного реестра.
После запуска PowerShell-скрипт распаковывает и активирует загрузчик шелл-кода, который инициализирует Remcos RAT прямо в памяти, минуя диск. Такой подход позволяет избежать обнаружения большинством антивирусов. Троян Remcos известен широким спектром функций для удалённого наблюдения и контроля над заражёнными системами — от кейлоггера и скриншотов до слежения за буфером обмена и сбором информации о процессах. Управление ведётся через защищённое TLS-соединение с сервером «readysteaurants[.]com».
Тенденция к бесфайловому запуску Remcos RAT наблюдается уже не в первый раз. Ещё в ноябре 2024 года специалисты Fortinet описали аналогичную кампанию, где использовались темы доставки, чтобы побудить жертву открыть вложение, запускающее вредоносный код исключительно в памяти.
По словам специалистов Qualys, использование PowerShell, LNK-ярлыков и «mshta.exe» указывает на переход к «хирургически точным» атакам, способным обойти сигнатурные и поведенческие защитные механизмы. Особенно уязвимы организации, не имеющие средств контроля вложений и анализа PowerShell-команд в реальном времени.
Современные атаки всё чаще опираются на существующие инструменты системы, превращая стандартные компоненты Windows в каналы доставки вредоносного кода. Это подчёркивает необходимость многоуровневой защиты: фильтрации вложений на уровне почты, мониторинга PowerShell-активности и ограничения запуска сценариев через «mshta.exe» в корпоративной среде.