ريمكوسرات
التهديدات بطاقة الأداء
EnigmaSoft بطاقة أداء التهديد
EnigmaSoft Threat Scorecards عبارة عن تقارير تقييم لتهديدات البرامج الضارة المختلفة والتي تم جمعها وتحليلها من قبل فريق البحث لدينا. تقوم بطاقات أداء التهديد EnigmaSoft بتقييم وتصنيف التهديدات باستخدام العديد من المقاييس بما في ذلك عوامل الخطر الواقعية والمحتملة ، والاتجاهات ، والتكرار ، والانتشار ، والمثابرة. يتم تحديث بطاقات EnigmaSoft Threat Scorecards بانتظام بناءً على بيانات ومقاييس البحث لدينا وهي مفيدة لمجموعة واسعة من مستخدمي الكمبيوتر ، من المستخدمين النهائيين الذين يبحثون عن حلول لإزالة البرامج الضارة من أنظمتهم إلى خبراء الأمن الذين يقومون بتحليل التهديدات.
تعرض بطاقات أداء التهديد EnigmaSoft مجموعة متنوعة من المعلومات المفيدة ، بما في ذلك:
الترتيب: ترتيب تهديد معين في EnigmaSoft's Threat Database.
مستوى الخطورة: مستوى الخطورة المحدد لشيء ما ، ممثلاً عدديًا ، بناءً على عملية نمذجة المخاطر والبحث لدينا ، كما هو موضح في معايير تقييم التهديدات الخاصة بنا.
أجهزة الكمبيوتر المصابة: عدد الحالات المؤكدة والمشتبه فيها لتهديد معين تم اكتشافه على أجهزة الكمبيوتر المصابة كما تم الإبلاغ عنها بواسطة SpyHunter.
راجع أيضًا معايير تقييم التهديد .
تصنيف: | 4,425 |
مستوى التهديد: | 80 % (عالي) |
أجهزة الكمبيوتر المصابة: | 26,563 |
الروية الأولى: | October 16, 2016 |
اخر ظهور: | August 5, 2024 |
نظام (أنظمة) متأثر: | Windows |
يعد Remcos RAT (Remote Access Trojan) برنامجًا ضارًا معقدًا مصممًا للتسلل إلى أنظمة تشغيل Windows والتحكم فيها. تم تطوير Remcos وبيعه من قبل شركة ألمانية تدعى Breaking Security كأداة مشروعة للتحكم عن بعد والمراقبة، وكثيرًا ما يتم إساءة استخدام Remcos من قبل مجرمي الإنترنت لأغراض ضارة. تتعمق هذه المقالة في الخصائص والقدرات والتأثيرات والدفاعات المتعلقة بـ Remcos RAT، بالإضافة إلى الأحداث البارزة الأخيرة التي تنطوي على نشره.
جدول المحتويات
طرق النشر والعدوى
هجمات التصيد
عادةً ما يتم توزيع Remcos من خلال هجمات التصيد الاحتيالي، حيث يتم خداع المستخدمين المطمئنين لتنزيل الملفات الضارة وتنفيذها. غالبًا ما تحتوي رسائل البريد الإلكتروني التصيدية هذه على ما يلي:
ملفات ZIP ضارة متخفية في هيئة ملفات PDF، تدعي أنها فواتير أو طلبات.
مستندات Microsoft Office التي تحتوي على وحدات ماكرو ضارة مضمنة مصممة لنشر البرامج الضارة عند التنشيط.
تقنيات التهرب
لتجنب الكشف، تستخدم Remcos تقنيات متقدمة مثل:
- حقن العملية أو تفريغ العملية : تسمح هذه الطريقة لـ Remcos بالتنفيذ ضمن عملية مشروعة، وبالتالي تجنب اكتشاف برامج مكافحة الفيروسات.
- آليات الثبات : بمجرد التثبيت، يضمن Remcos أن يظل نشطًا من خلال استخدام آليات تسمح له بالعمل في الخلفية، مخفيًا عن المستخدم.
البنية التحتية للقيادة والتحكم (C2).
تتمثل القدرة الأساسية لـ Remcos في وظيفة القيادة والتحكم (C2). وتقوم البرمجيات الخبيثة بتشفير حركة اتصالاتها في طريقها إلى خادم C2، مما يجعل من الصعب على إجراءات أمان الشبكة اعتراض البيانات وتحليلها. تستخدم Remcos DNS الموزع (DDNS) لإنشاء مجالات متعددة لخوادم C2 الخاصة بها. تساعد هذه التقنية البرامج الضارة على التهرب من إجراءات الحماية الأمنية التي تعتمد على تصفية حركة المرور إلى المجالات الضارة المعروفة، مما يعزز مرونتها واستمراريتها.
قدرات Remcos RAT
Remcos RAT هي أداة قوية توفر إمكانات عديدة للمهاجمين، مما يتيح التحكم والاستغلال الشاملين للأنظمة المصابة:
ارتفاع الامتياز
يمكن لـ Remcos الحصول على أذونات المسؤول على النظام المصاب، مما يسمح له بما يلي:
- تعطيل التحكم في حساب المستخدم (UAC).
- تنفيذ العديد من الوظائف الضارة بامتيازات مرتفعة.
التهرب من الدفاع
باستخدام حقن العمليات، يقوم Remcos بدمج نفسه ضمن العمليات المشروعة، مما يجعل اكتشاف برامج مكافحة الفيروسات أمرًا صعبًا. بالإضافة إلى ذلك، فإن قدرته على العمل في الخلفية تخفي وجوده عن المستخدمين.
جمع البيانات
Remcos بارع في جمع مجموعة واسعة من البيانات من النظام المصاب، بما في ذلك:
- ضربات المفاتيح
- لقطات الشاشة
- التسجيلات الصوتية
- محتويات الحافظة
- كلمات المرور المخزنة
تأثير عدوى Remcos RAT
إن عواقب الإصابة بـ Remcos كبيرة ومتعددة الأوجه، وتؤثر على كل من المستخدمين الأفراد والمؤسسات:
- الاستيلاء على الحساب
من خلال تسجيل ضغطات المفاتيح وسرقة كلمات المرور، يمكّن Remcos المهاجمين من الاستيلاء على الحسابات عبر الإنترنت والأنظمة الأخرى، مما قد يؤدي إلى مزيد من سرقة البيانات والوصول غير المصرح به داخل شبكة المؤسسة. - سرقة البيانات
Remcos قادر على استخراج البيانات الحساسة من النظام المصاب. يمكن أن يؤدي ذلك إلى اختراق البيانات، إما مباشرة من جهاز الكمبيوتر المخترق أو من أنظمة أخرى يتم الوصول إليها باستخدام بيانات الاعتماد المسروقة. - متابعة العدوى
يمكن أن تكون الإصابة بـ Remcos بمثابة بوابة لنشر متغيرات إضافية من البرامج الضارة. وهذا يزيد من خطر الهجمات اللاحقة، مثل الإصابة ببرامج الفدية، مما يزيد من تفاقم الضرر.
الحماية من البرامج الضارة Remcos
يمكن للمؤسسات اعتماد العديد من الاستراتيجيات وأفضل الممارسات للحماية من عدوى Remcos:
مسح البريد الإلكتروني
يمكن أن يؤدي تنفيذ حلول فحص البريد الإلكتروني التي تحدد رسائل البريد الإلكتروني المشبوهة وتحظرها إلى منع التسليم الأولي لـ Remcos إلى صناديق البريد الوارد للمستخدمين.
تحليل المجال
يمكن أن تساعد مراقبة وتحليل سجلات المجال التي تطلبها نقاط النهاية في تحديد وحظر المجالات الجديدة أو المشبوهة التي قد تكون مرتبطة بـ Remcos.
تحليل حركة مرور الشبكة
يمكن اكتشاف متغيرات Remcos التي تقوم بتشفير حركة المرور الخاصة بها باستخدام بروتوكولات غير قياسية من خلال تحليل حركة مرور الشبكة، والذي يمكن أن يشير إلى أنماط حركة مرور غير عادية لمزيد من التحقيق.
أمن نقطة النهاية
يعد نشر حلول أمان نقطة النهاية مع القدرة على اكتشاف إصابات Remcos وعلاجها أمرًا بالغ الأهمية. تعتمد هذه الحلول على مؤشرات التسوية المحددة لتحديد البرامج الضارة وتحييدها.
استغلال انقطاع CrowdStrike
وفي حادث وقع مؤخرًا، استغل مجرمو الإنترنت انقطاعًا عالميًا لشركة الأمن السيبراني CrowdStrike لتوزيع Remcos RAT. استهدف المهاجمون عملاء CrowdStrike في أمريكا اللاتينية من خلال توزيع ملف أرشيف ZIP باسم "crowdstrike-hotfix.zip". يحتوي هذا الملف على أداة تحميل البرامج الضارة، Hijack Loader، التي أطلقت لاحقًا حمولة Remcos RAT.
يتضمن أرشيف ZIP ملفًا نصيًا ('instrucciones.txt') يحتوي على تعليمات باللغة الإسبانية، لحث الأهداف على تشغيل ملف قابل للتنفيذ ('setup.exe') للتعافي من المشكلة. يشير استخدام أسماء الملفات والتعليمات الإسبانية إلى وجود حملة مستهدفة تستهدف عملاء CrowdStrike في أمريكا اللاتينية.
خاتمة
يعد Remcos RAT برنامجًا ضارًا قويًا ومتعدد الاستخدامات ويشكل تهديدًا كبيرًا لأنظمة Windows. إن قدرتها على تجنب الاكتشاف والحصول على امتيازات عالية وجمع بيانات واسعة النطاق تجعلها أداة مفضلة بين مجرمي الإنترنت. ومن خلال فهم أساليب النشر وإمكانياته وتأثيراته، يمكن للمؤسسات الدفاع بشكل أفضل ضد هذه البرامج الضارة. يعد تنفيذ تدابير أمنية قوية والبقاء يقظًا ضد هجمات التصيد الاحتيالي خطوات حاسمة في التخفيف من المخاطر التي يشكلها Remcos RAT.
SpyHunter يكتشف ويزيل ريمكوسرات
ريمكوسرات فيديو
نصيحة: تشغيل الصوت ON ومشاهدة الفيديو في وضع ملء الشاشة.
ملف تفاصيل النظام
# | اسم الملف | MD5 |
الاكتشافات
الاكتشافات: عدد الحالات المؤكدة والمشتبه فيها لخطر معين تم اكتشافه على أجهزة الكمبيوتر المصابة كما أبلغت عنه SpyHunter.
|
---|---|---|---|
1. | 7g1cq51137eqs.exe | aeca465c269f3bd7b5f67bc9da8489cb | 83 |
2. | 321.exe | d435cebd8266fa44111ece457a1bfba1 | 45 |
3. | windslfj.exe | 968650761a5d13c26197dbf26c56552a | 5 |
4. | file.exe | 83dd9dacb72eaa793e982882809eb9d5 | 5 |
5. | Legit Program.exe | cd2c23deea7f1eb6b19a42fd3affb0ee | 3 |
6. | unseen.exe | d8cff8ec41992f25ef3127e32e379e3b | 2 |
7. | file.exe | 601ceb7114eefefd1579fae7b0236e66 | 1 |
8. | file.exe | c9923150d5c18e4932ed449c576f7942 | 1 |
9. | file.exe | 20dc88560b9e77f61c8a88f8bcf6571f | 1 |
10. | file.exe | c41f7add0295861e60501373d87d586d | 1 |
11. | file.exe | 8671446732d37b3ad4c120ca2b39cfca | 0 |
12. | File.exe | 35b954d9a5435f369c59cd9d2515c931 | 0 |
13. | file.exe | 3e25268ff17b48da993b74549de379f4 | 0 |
14. | file.exe | b79dcc45b3d160bce8a462abb44e9490 | 0 |
15. | file.exe | 390ebb54156149b66b77316a8462e57d | 0 |
16. | e12cd6fe497b42212fa8c9c19bf51088 | e12cd6fe497b42212fa8c9c19bf51088 | 0 |
17. | file.exe | 1d785c1c5d2a06d0e519d40db5b2390a | 0 |
18. | file.exe | f48496b58f99bb6ec9bc35e5e8dc63b8 | 0 |
19. | file.exe | 5f50bcd2cad547c4e766bdd7992bc12a | 0 |
20. | file.exe | 1645b2f23ece660689172547bd2fde53 | 0 |
21. | 50a62912a3a282b1b11f78f23d0e5906 | 50a62912a3a282b1b11f78f23d0e5906 | 0 |
تفاصيل التسجيل
الدلائل
ريمكوسرات قد ينشئ الدليل أو الدلائل التالية:
%ALLUSERSPROFILE%\task manager |
%APPDATA%\Badlion |
%APPDATA%\Extress |
%APPDATA%\GoogleChrome |
%APPDATA%\JagexLIVE |
%APPDATA%\Remc |
%APPDATA%\Shockwave |
%APPDATA%\appdata |
%APPDATA%\googlecrome |
%APPDATA%\hyerr |
%APPDATA%\loader |
%APPDATA%\pdf |
%APPDATA%\remcoco |
%APPDATA%\ujmcos |
%APPDATA%\verify |
%APPDATA%\windir |
%AppData%\remcos |
%PROGRAMFILES(x86)%\Microsft Word |
%TEMP%\commonafoldersz |
%TEMP%\remcos |
%Userprofile%\remcos |
%WINDIR%\SysWOW64\Adobe Inc |
%WINDIR%\SysWOW64\remcos |
%WINDIR%\SysWOW64\skype |
%WINDIR%\System32\rel |
%WINDIR%\System32\remcos |
%WINDIR%\notepad++ |
%WINDIR%\remcos |