RemcosRAT
Cartoncino segnapunti di minaccia
Scheda di valutazione delle minacce di EnigmaSoft
Le EnigmaSoft Threat Scorecard sono rapporti di valutazione per diverse minacce malware che sono state raccolte e analizzate dal nostro team di ricerca. Le EnigmaSoft Threat Scorecard valutano e classificano le minacce utilizzando diverse metriche tra cui fattori di rischio reali e potenziali, tendenze, frequenza, prevalenza e persistenza. Le EnigmaSoft Threat Scorecard vengono aggiornate regolarmente in base ai dati e alle metriche della nostra ricerca e sono utili per un'ampia gamma di utenti di computer, dagli utenti finali che cercano soluzioni per rimuovere il malware dai loro sistemi agli esperti di sicurezza che analizzano le minacce.
Le schede di valutazione delle minacce di EnigmaSoft mostrano una serie di informazioni utili, tra cui:
Classifica: la classifica di una particolare minaccia nel database delle minacce di EnigmaSoft.
Livello di gravità: il livello di gravità determinato di un oggetto, rappresentato numericamente, in base al nostro processo di modellazione del rischio e alla nostra ricerca, come spiegato nei nostri criteri di valutazione delle minacce .
Computer infetti: il numero di casi confermati e sospetti di una particolare minaccia rilevati su computer infetti come riportato da SpyHunter.
Vedere anche Criteri di valutazione delle minacce .
Classifica: | 4,425 |
Livello di minaccia: | 80 % (Alto) |
Computer infetti: | 26,563 |
Visto per la prima volta: | October 16, 2016 |
Ultima visualizzazione: | August 5, 2024 |
Sistemi operativi interessati: | Windows |
Remcos RAT (Remote Access Trojan) è un malware sofisticato progettato per infiltrarsi e controllare i sistemi operativi Windows. Sviluppato e venduto da una società tedesca denominata Breaking Security come strumento legittimo di controllo e sorveglianza remota, Remcos viene spesso abusato dai criminali informatici per scopi dannosi. Questo articolo approfondisce le caratteristiche, le capacità, gli impatti e le difese relative a Remcos RAT, nonché i recenti incidenti degni di nota che ne hanno coinvolto l'implementazione.
Sommario
Metodi di distribuzione e infezione
Attacchi di phishing
Remcos viene generalmente distribuito tramite attacchi di phishing, in cui utenti ignari vengono indotti con l'inganno a scaricare ed eseguire file dannosi. Queste email di phishing spesso contengono:
File ZIP dannosi camuffati da PDF che fingono di essere fatture o ordini.
Documenti di Microsoft Office con macro dannose incorporate progettate per distribuire il malware al momento dell'attivazione.
Tecniche di evasione
Per eludere il rilevamento, Remcos utilizza tecniche avanzate come:
- Process Injection o Process Hollowing : questo metodo consente a Remcos di essere eseguito all'interno di un processo legittimo, evitando così il rilevamento da parte del software antivirus.
- Meccanismi di persistenza : una volta installato, Remcos garantisce che rimanga attivo utilizzando meccanismi che gli consentono di funzionare in background, nascosto all'utente.
Infrastruttura di comando e controllo (C2).
Una delle funzionalità principali di Remcos è la funzionalità di comando e controllo (C2). Il malware crittografa il traffico di comunicazione in rotta verso il server C2, rendendo difficile l'intercettazione e l'analisi dei dati da parte delle misure di sicurezza della rete. Remcos utilizza Distributed DNS (DDNS) per creare più domini per i suoi server C2. Questa tecnica aiuta il malware a eludere le protezioni di sicurezza che si basano sul filtraggio del traffico verso domini dannosi noti, migliorandone la resilienza e la persistenza.
Funzionalità di Remcos RAT
Remcos RAT è un potente strumento che offre numerose funzionalità agli aggressori, consentendo un ampio controllo e sfruttamento dei sistemi infetti:
Elevazione dei privilegi
Remcos può ottenere le autorizzazioni di amministratore su un sistema infetto, consentendogli di:
- Disabilita il controllo dell'account utente (UAC).
- Esegui varie funzioni dannose con privilegi elevati.
Evasione della difesa
Utilizzando l'iniezione di processo, Remcos si integra all'interno di processi legittimi, rendendone difficile il rilevamento da parte del software antivirus. Inoltre, la sua capacità di funzionare in background nasconde ulteriormente la sua presenza agli utenti.
Raccolta dati
Remcos è abile nel raccogliere un'ampia gamma di dati dal sistema infetto, tra cui:
- Tasti
- Schermate
- Registrazioni audio
- Contenuto degli appunti
- Password memorizzate
Impatto di un'infezione da RAT Remcos
Le conseguenze di un’infezione da Remcos sono significative e molteplici e colpiscono sia i singoli utenti che le organizzazioni:
- Acquisizione dell'account
Registrando le sequenze di tasti e rubando le password, Remcos consente agli aggressori di impossessarsi di account online e altri sistemi, portando potenzialmente a ulteriori furti di dati e accessi non autorizzati all'interno della rete di un'organizzazione. - Furto di dati
Remcos è in grado di esfiltrare dati sensibili dal sistema infetto. Ciò può comportare violazioni dei dati, direttamente dal computer compromesso o da altri sistemi a cui si accede utilizzando credenziali rubate. - Infezioni successive
Un'infezione da Remcos può fungere da gateway per la distribuzione di ulteriori varianti di malware. Ciò aumenta il rischio di attacchi successivi, come infezioni da ransomware, esacerbando ulteriormente il danno.
Protezione contro il malware Remcos
Le organizzazioni possono adottare diverse strategie e migliori pratiche per proteggersi dalle infezioni Remcos:
Scansione della posta elettronica
L'implementazione di soluzioni di scansione della posta elettronica che identificano e bloccano le email sospette può impedire la consegna iniziale di Remcos alle caselle di posta degli utenti.
Analisi del dominio
Il monitoraggio e l'analisi dei record di dominio richiesti dagli endpoint possono aiutare a identificare e bloccare domini giovani o sospetti che potrebbero essere associati a Remcos.
Analisi del traffico di rete
Le varianti di Remcos che crittografano il traffico utilizzando protocolli non standard possono essere rilevate tramite l'analisi del traffico di rete, che può contrassegnare modelli di traffico insoliti per ulteriori indagini.
Sicurezza degli endpoint
L’implementazione di soluzioni di sicurezza endpoint con la capacità di rilevare e correggere le infezioni Remcos è fondamentale. Queste soluzioni si basano su indicatori di compromissione consolidati per identificare e neutralizzare il malware.
Sfruttamento dell'interruzione di CrowdStrike
In un recente incidente, i criminali informatici hanno sfruttato un’interruzione mondiale della società di sicurezza informatica CrowdStrike per distribuire Remcos RAT. Gli aggressori hanno preso di mira i clienti CrowdStrike in America Latina distribuendo un file di archivio ZIP denominato "crowdstrike-hotfix.zip". Questo file conteneva un caricatore di malware, Hijack Loader, che successivamente lanciava il payload Remcos RAT.
L'archivio ZIP includeva un file di testo ("instrucciones.txt") con istruzioni in lingua spagnola, che invitava gli obiettivi a eseguire un file eseguibile ("setup.exe") per presumibilmente risolvere il problema. L'uso di nomi di file e istruzioni in spagnolo indica una campagna mirata rivolta ai clienti CrowdStrike con sede in America Latina.
Conclusione
Remcos RAT è un malware potente e versatile che rappresenta una minaccia significativa per i sistemi Windows. La sua capacità di eludere il rilevamento, ottenere privilegi elevati e raccogliere dati estesi lo rende uno strumento preferito dai criminali informatici. Comprendendone i metodi di distribuzione, le capacità e gli impatti, le organizzazioni possono difendersi meglio da questo software dannoso. L’implementazione di solide misure di sicurezza e la vigilanza contro gli attacchi di phishing sono passaggi cruciali per mitigare il rischio rappresentato da Remcos RAT.
SpyHunter rileva e rimuove RemcosRAT
RemcosRAT Video
Suggerimento: attiva l' audio e guarda il video in modalità Schermo intero .
Dettagli del file system
# | Nome del file | MD5 |
Rilevazioni
Rilevamenti: il numero di casi confermati e sospetti di una particolare minaccia rilevati su computer infetti come riportato da SpyHunter.
|
---|---|---|---|
1. | 7g1cq51137eqs.exe | aeca465c269f3bd7b5f67bc9da8489cb | 83 |
2. | 321.exe | d435cebd8266fa44111ece457a1bfba1 | 45 |
3. | windslfj.exe | 968650761a5d13c26197dbf26c56552a | 5 |
4. | file.exe | 83dd9dacb72eaa793e982882809eb9d5 | 5 |
5. | Legit Program.exe | cd2c23deea7f1eb6b19a42fd3affb0ee | 3 |
6. | unseen.exe | d8cff8ec41992f25ef3127e32e379e3b | 2 |
7. | file.exe | 601ceb7114eefefd1579fae7b0236e66 | 1 |
8. | file.exe | c9923150d5c18e4932ed449c576f7942 | 1 |
9. | file.exe | 20dc88560b9e77f61c8a88f8bcf6571f | 1 |
10. | file.exe | c41f7add0295861e60501373d87d586d | 1 |
11. | file.exe | 8671446732d37b3ad4c120ca2b39cfca | 0 |
12. | File.exe | 35b954d9a5435f369c59cd9d2515c931 | 0 |
13. | file.exe | 3e25268ff17b48da993b74549de379f4 | 0 |
14. | file.exe | b79dcc45b3d160bce8a462abb44e9490 | 0 |
15. | file.exe | 390ebb54156149b66b77316a8462e57d | 0 |
16. | e12cd6fe497b42212fa8c9c19bf51088 | e12cd6fe497b42212fa8c9c19bf51088 | 0 |
17. | file.exe | 1d785c1c5d2a06d0e519d40db5b2390a | 0 |
18. | file.exe | f48496b58f99bb6ec9bc35e5e8dc63b8 | 0 |
19. | file.exe | 5f50bcd2cad547c4e766bdd7992bc12a | 0 |
20. | file.exe | 1645b2f23ece660689172547bd2fde53 | 0 |
21. | 50a62912a3a282b1b11f78f23d0e5906 | 50a62912a3a282b1b11f78f23d0e5906 | 0 |
Dettagli del registro
Directory
RemcosRAT può creare la seguente directory o directory:
%ALLUSERSPROFILE%\task manager |
%APPDATA%\Badlion |
%APPDATA%\Extress |
%APPDATA%\GoogleChrome |
%APPDATA%\JagexLIVE |
%APPDATA%\Remc |
%APPDATA%\Shockwave |
%APPDATA%\appdata |
%APPDATA%\googlecrome |
%APPDATA%\hyerr |
%APPDATA%\loader |
%APPDATA%\pdf |
%APPDATA%\remcoco |
%APPDATA%\ujmcos |
%APPDATA%\verify |
%APPDATA%\windir |
%AppData%\remcos |
%PROGRAMFILES(x86)%\Microsft Word |
%TEMP%\commonafoldersz |
%TEMP%\remcos |
%Userprofile%\remcos |
%WINDIR%\SysWOW64\Adobe Inc |
%WINDIR%\SysWOW64\remcos |
%WINDIR%\SysWOW64\skype |
%WINDIR%\System32\rel |
%WINDIR%\System32\remcos |
%WINDIR%\notepad++ |
%WINDIR%\remcos |