RemcosRAT

Cartoncino segnapunti di minaccia

Classifica: 4,425
Livello di minaccia: 80 % (Alto)
Computer infetti: 26,563
Visto per la prima volta: October 16, 2016
Ultima visualizzazione: August 5, 2024
Sistemi operativi interessati: Windows

Remcos RAT (Remote Access Trojan) è un malware sofisticato progettato per infiltrarsi e controllare i sistemi operativi Windows. Sviluppato e venduto da una società tedesca denominata Breaking Security come strumento legittimo di controllo e sorveglianza remota, Remcos viene spesso abusato dai criminali informatici per scopi dannosi. Questo articolo approfondisce le caratteristiche, le capacità, gli impatti e le difese relative a Remcos RAT, nonché i recenti incidenti degni di nota che ne hanno coinvolto l'implementazione.

Metodi di distribuzione e infezione

Attacchi di phishing
Remcos viene generalmente distribuito tramite attacchi di phishing, in cui utenti ignari vengono indotti con l'inganno a scaricare ed eseguire file dannosi. Queste email di phishing spesso contengono:

File ZIP dannosi camuffati da PDF che fingono di essere fatture o ordini.
Documenti di Microsoft Office con macro dannose incorporate progettate per distribuire il malware al momento dell'attivazione.

Tecniche di evasione
Per eludere il rilevamento, Remcos utilizza tecniche avanzate come:

  • Process Injection o Process Hollowing : questo metodo consente a Remcos di essere eseguito all'interno di un processo legittimo, evitando così il rilevamento da parte del software antivirus.
  • Meccanismi di persistenza : una volta installato, Remcos garantisce che rimanga attivo utilizzando meccanismi che gli consentono di funzionare in background, nascosto all'utente.

Infrastruttura di comando e controllo (C2).

Una delle funzionalità principali di Remcos è la funzionalità di comando e controllo (C2). Il malware crittografa il traffico di comunicazione in rotta verso il server C2, rendendo difficile l'intercettazione e l'analisi dei dati da parte delle misure di sicurezza della rete. Remcos utilizza Distributed DNS (DDNS) per creare più domini per i suoi server C2. Questa tecnica aiuta il malware a eludere le protezioni di sicurezza che si basano sul filtraggio del traffico verso domini dannosi noti, migliorandone la resilienza e la persistenza.

Funzionalità di Remcos RAT

Remcos RAT è un potente strumento che offre numerose funzionalità agli aggressori, consentendo un ampio controllo e sfruttamento dei sistemi infetti:

Elevazione dei privilegi
Remcos può ottenere le autorizzazioni di amministratore su un sistema infetto, consentendogli di:

  • Disabilita il controllo dell'account utente (UAC).
  • Esegui varie funzioni dannose con privilegi elevati.

Evasione della difesa
Utilizzando l'iniezione di processo, Remcos si integra all'interno di processi legittimi, rendendone difficile il rilevamento da parte del software antivirus. Inoltre, la sua capacità di funzionare in background nasconde ulteriormente la sua presenza agli utenti.

Raccolta dati

Remcos è abile nel raccogliere un'ampia gamma di dati dal sistema infetto, tra cui:

  • Tasti
  • Schermate
  • Registrazioni audio
  • Contenuto degli appunti
  • Password memorizzate

Impatto di un'infezione da RAT Remcos

Le conseguenze di un’infezione da Remcos sono significative e molteplici e colpiscono sia i singoli utenti che le organizzazioni:

  • Acquisizione dell'account
    Registrando le sequenze di tasti e rubando le password, Remcos consente agli aggressori di impossessarsi di account online e altri sistemi, portando potenzialmente a ulteriori furti di dati e accessi non autorizzati all'interno della rete di un'organizzazione.
  • Furto di dati
    Remcos è in grado di esfiltrare dati sensibili dal sistema infetto. Ciò può comportare violazioni dei dati, direttamente dal computer compromesso o da altri sistemi a cui si accede utilizzando credenziali rubate.
  • Infezioni successive
    Un'infezione da Remcos può fungere da gateway per la distribuzione di ulteriori varianti di malware. Ciò aumenta il rischio di attacchi successivi, come infezioni da ransomware, esacerbando ulteriormente il danno.

Protezione contro il malware Remcos

Le organizzazioni possono adottare diverse strategie e migliori pratiche per proteggersi dalle infezioni Remcos:

Scansione della posta elettronica
L'implementazione di soluzioni di scansione della posta elettronica che identificano e bloccano le email sospette può impedire la consegna iniziale di Remcos alle caselle di posta degli utenti.

Analisi del dominio
Il monitoraggio e l'analisi dei record di dominio richiesti dagli endpoint possono aiutare a identificare e bloccare domini giovani o sospetti che potrebbero essere associati a Remcos.

Analisi del traffico di rete
Le varianti di Remcos che crittografano il traffico utilizzando protocolli non standard possono essere rilevate tramite l'analisi del traffico di rete, che può contrassegnare modelli di traffico insoliti per ulteriori indagini.

Sicurezza degli endpoint
L’implementazione di soluzioni di sicurezza endpoint con la capacità di rilevare e correggere le infezioni Remcos è fondamentale. Queste soluzioni si basano su indicatori di compromissione consolidati per identificare e neutralizzare il malware.

Sfruttamento dell'interruzione di CrowdStrike

In un recente incidente, i criminali informatici hanno sfruttato un’interruzione mondiale della società di sicurezza informatica CrowdStrike per distribuire Remcos RAT. Gli aggressori hanno preso di mira i clienti CrowdStrike in America Latina distribuendo un file di archivio ZIP denominato "crowdstrike-hotfix.zip". Questo file conteneva un caricatore di malware, Hijack Loader, che successivamente lanciava il payload Remcos RAT.

L'archivio ZIP includeva un file di testo ("instrucciones.txt") con istruzioni in lingua spagnola, che invitava gli obiettivi a eseguire un file eseguibile ("setup.exe") per presumibilmente risolvere il problema. L'uso di nomi di file e istruzioni in spagnolo indica una campagna mirata rivolta ai clienti CrowdStrike con sede in America Latina.

Conclusione

Remcos RAT è un malware potente e versatile che rappresenta una minaccia significativa per i sistemi Windows. La sua capacità di eludere il rilevamento, ottenere privilegi elevati e raccogliere dati estesi lo rende uno strumento preferito dai criminali informatici. Comprendendone i metodi di distribuzione, le capacità e gli impatti, le organizzazioni possono difendersi meglio da questo software dannoso. L’implementazione di solide misure di sicurezza e la vigilanza contro gli attacchi di phishing sono passaggi cruciali per mitigare il rischio rappresentato da Remcos RAT.

SpyHunter rileva e rimuove RemcosRAT

RemcosRAT Video

Suggerimento: attiva l' audio e guarda il video in modalità Schermo intero .

Dettagli del file system

RemcosRAT può creare i seguenti file:
# Nome del file MD5 Rilevazioni
1. 7g1cq51137eqs.exe aeca465c269f3bd7b5f67bc9da8489cb 83
2. 321.exe d435cebd8266fa44111ece457a1bfba1 45
3. windslfj.exe 968650761a5d13c26197dbf26c56552a 5
4. file.exe 83dd9dacb72eaa793e982882809eb9d5 5
5. Legit Program.exe cd2c23deea7f1eb6b19a42fd3affb0ee 3
6. unseen.exe d8cff8ec41992f25ef3127e32e379e3b 2
7. file.exe 601ceb7114eefefd1579fae7b0236e66 1
8. file.exe c9923150d5c18e4932ed449c576f7942 1
9. file.exe 20dc88560b9e77f61c8a88f8bcf6571f 1
10. file.exe c41f7add0295861e60501373d87d586d 1
11. file.exe 8671446732d37b3ad4c120ca2b39cfca 0
12. File.exe 35b954d9a5435f369c59cd9d2515c931 0
13. file.exe 3e25268ff17b48da993b74549de379f4 0
14. file.exe b79dcc45b3d160bce8a462abb44e9490 0
15. file.exe 390ebb54156149b66b77316a8462e57d 0
16. e12cd6fe497b42212fa8c9c19bf51088 e12cd6fe497b42212fa8c9c19bf51088 0
17. file.exe 1d785c1c5d2a06d0e519d40db5b2390a 0
18. file.exe f48496b58f99bb6ec9bc35e5e8dc63b8 0
19. file.exe 5f50bcd2cad547c4e766bdd7992bc12a 0
20. file.exe 1645b2f23ece660689172547bd2fde53 0
21. 50a62912a3a282b1b11f78f23d0e5906 50a62912a3a282b1b11f78f23d0e5906 0

Dettagli del registro

RemcosRAT può creare la seguente voce o voci di registro:
Regexp file mask
%APPDATA%\aitagent\aitagent.exe
%APPDATA%\Analysernes1.exe
%APPDATA%\Audiohd.exe
%APPDATA%\Bagsmks8.exe
%APPDATA%\Behandlingens[RANDOM CHARACTERS].exe
%APPDATA%\Brnevrelser[RANDOM CHARACTERS].exe
%appdata%\calc.exe
%APPDATA%\chrome\chrome.exe
%APPDATA%\deseret.pif
%APPDATA%\explorer\explore.exe
%APPDATA%\Extortioner.exe
%APPDATA%\firewall.exe
%APPDATA%\foc\foc.exe
%APPDATA%\Holmdel8.exe
%APPDATA%\Install\laeu.exe
%APPDATA%\Irenas.exe
%APPDATA%\Javaw\Javaw.exe
%APPDATA%\Machree[RANDOM CHARACTERS].exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\filename.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\firewall.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Holmdel8.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Legit Program.exe
%APPDATA%\Mozila\Mozila.exe
%APPDATA%\newremcos.exe
%APPDATA%\remcos.exe
%APPDATA%\SearchUI.exe
%APPDATA%\Smartse\smartse.exe
%AppData%\spoolsv.exe
%APPDATA%\System\logs.dat
%APPDATA%\Tornlst.exe
%APPDATA%\WindowsDefender\WindowsDefender.exe
%PROGRAMFILES%\AppData\drivers.exe
%TEMP%\Name of the melted file.exe
%WINDIR%\System32\remcomsvc.exe
%WINDIR%\SysWOW64\remcomsvc.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\remcos
SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\remcos

Directory

RemcosRAT può creare la seguente directory o directory:

%ALLUSERSPROFILE%\task manager
%APPDATA%\Badlion
%APPDATA%\Extress
%APPDATA%\GoogleChrome
%APPDATA%\JagexLIVE
%APPDATA%\Remc
%APPDATA%\Shockwave
%APPDATA%\appdata
%APPDATA%\googlecrome
%APPDATA%\hyerr
%APPDATA%\loader
%APPDATA%\pdf
%APPDATA%\remcoco
%APPDATA%\ujmcos
%APPDATA%\verify
%APPDATA%\windir
%AppData%\remcos
%PROGRAMFILES(x86)%\Microsft Word
%TEMP%\commonafoldersz
%TEMP%\remcos
%Userprofile%\remcos
%WINDIR%\SysWOW64\Adobe Inc
%WINDIR%\SysWOW64\remcos
%WINDIR%\SysWOW64\skype
%WINDIR%\System32\rel
%WINDIR%\System32\remcos
%WINDIR%\notepad++
%WINDIR%\remcos

Tendenza

I più visti

Caricamento in corso...