RemcosRAT

Bedreigingsscorekaart

Rangschikking: 4,425
Dreigingsniveau: 80 % (Hoog)
Geïnfecteerde computers: 26,563
Eerst gezien: October 16, 2016
Laatst gezien: August 5, 2024
Beïnvloede besturingssystemen: Windows

Remcos RAT (Remote Access Trojan) is een geavanceerde malware die is ontworpen om Windows-besturingssystemen te infiltreren en te controleren. Ontwikkeld en verkocht door een Duits bedrijf genaamd Breaking Security als een legitieme tool voor afstandsbediening en bewaking, wordt Remcos regelmatig misbruikt door cybercriminelen voor kwaadaardige doeleinden. Dit artikel gaat in op de kenmerken, mogelijkheden, impact en verdedigingsmechanismen met betrekking tot Remcos RAT, evenals op recente opmerkelijke incidenten met betrekking tot de inzet ervan.

Implementatie- en infectiemethoden

Phishing-aanvallen
Remcos wordt doorgaans verspreid via phishing-aanvallen, waarbij nietsvermoedende gebruikers worden misleid om kwaadaardige bestanden te downloaden en uit te voeren. Deze phishing-e-mails bevatten vaak:

Schadelijke ZIP-bestanden, vermomd als pdf's, die beweren facturen of bestellingen te zijn.
Microsoft Office-documenten met ingebedde kwaadaardige macro's die zijn ontworpen om de malware bij activering te implementeren.

Ontwijkingstechnieken
Om detectie te omzeilen maakt Remcos gebruik van geavanceerde technieken zoals:

  • Process Injection of Process Hollowing : Met deze methode kan Remcos binnen een legitiem proces worden uitgevoerd, waardoor detectie door antivirussoftware wordt vermeden.
  • Persistentiemechanismen : Eenmaal geïnstalleerd, zorgt Remcos ervoor dat het actief blijft door mechanismen te gebruiken waarmee het op de achtergrond kan draaien, verborgen voor de gebruiker.

Command-and-Control (C2)-infrastructuur

Een kerncapaciteit van Remcos is de Command-and-Control (C2) functionaliteit. De malware versleutelt het communicatieverkeer onderweg naar de C2-server, waardoor het voor netwerkbeveiligingsmaatregelen moeilijk wordt om de gegevens te onderscheppen en te analyseren. Remcos maakt gebruik van Distributed DNS (DDNS) om meerdere domeinen voor zijn C2-servers te creëren. Deze techniek helpt de malware beveiligingsmaatregelen te omzeilen die afhankelijk zijn van het filteren van verkeer naar bekende kwaadaardige domeinen, waardoor de veerkracht en persistentie worden vergroot.

Mogelijkheden van Remcos RAT

Remcos RAT is een krachtige tool die aanvallers talloze mogelijkheden biedt, waardoor uitgebreide controle en exploitatie van geïnfecteerde systemen mogelijk wordt:

Privilege-hoogte
Remcos kan beheerdersrechten verkrijgen op een geïnfecteerd systeem, waardoor het:

  • Schakel Gebruikersaccountbeheer (UAC) uit.
  • Voer verschillende kwaadaardige functies uit met verhoogde rechten.

Ontduiking van defensie
Door gebruik te maken van procesinjectie integreert Remcos zichzelf in legitieme processen, waardoor het lastig wordt voor antivirussoftware om deze te detecteren. Bovendien verbergt de mogelijkheid om op de achtergrond te draaien de aanwezigheid ervan verder voor gebruikers.

Gegevensverzameling

Remcos is bedreven in het verzamelen van een breed scala aan gegevens van het geïnfecteerde systeem, waaronder:

  • Toetsaanslagen
  • Schermafbeeldingen
  • Audio-opnamen
  • Inhoud klembord
  • Opgeslagen wachtwoorden

Impact van een Remcos RAT-infectie

De gevolgen van een Remcos-infectie zijn aanzienlijk en veelzijdig en treffen zowel individuele gebruikers als organisaties:

  • Accountovername
    Door toetsaanslagen te registreren en wachtwoorden te stelen, stelt Remcos aanvallers in staat online accounts en andere systemen over te nemen, wat mogelijk kan leiden tot verdere gegevensdiefstal en ongeautoriseerde toegang binnen het netwerk van een organisatie.
  • Data diefstal
    Remcos is in staat gevoelige gegevens uit het geïnfecteerde systeem te exfiltreren. Dit kan resulteren in datalekken, hetzij rechtstreeks vanaf de aangetaste computer, hetzij vanaf andere systemen waartoe toegang wordt verkregen met behulp van gestolen inloggegevens.
  • Vervolginfecties
    Een infectie met Remcos kan als toegangspoort dienen voor het inzetten van extra malwarevarianten. Dit vergroot het risico op daaropvolgende aanvallen, zoals ransomware-infecties, waardoor de schade nog groter wordt.

Bescherming tegen Remcos-malware

Organisaties kunnen verschillende strategieën en best practices toepassen om zich te beschermen tegen Remcos-infecties:

E-mail scannen
Het implementeren van e-mailscanoplossingen die verdachte e-mails identificeren en blokkeren, kan de initiële bezorging van Remcos in de inbox van gebruikers voorkomen.

Domeinanalyse
Het monitoren en analyseren van door eindpunten opgevraagde domeinrecords kan helpen bij het identificeren en blokkeren van jonge of verdachte domeinen die mogelijk aan Remcos zijn gekoppeld.

Analyse van netwerkverkeer
Remcos-varianten die hun verkeer versleutelen met behulp van niet-standaardprotocollen kunnen worden gedetecteerd via netwerkverkeeranalyse, die ongebruikelijke verkeerspatronen kan signaleren voor verder onderzoek.

Eindpuntbeveiliging
Het inzetten van eindpuntbeveiligingsoplossingen met de mogelijkheid om Remcos-infecties te detecteren en te verhelpen is van cruciaal belang. Deze oplossingen zijn afhankelijk van gevestigde indicatoren van compromissen om de malware te identificeren en te neutraliseren.

Exploitatie van CrowdStrike-storing

Bij een recent incident maakten cybercriminelen misbruik van een wereldwijde storing van het cyberbeveiligingsbedrijf CrowdStrike om Remcos RAT te distribueren. De aanvallers richtten zich op CrowdStrike-klanten in Latijns-Amerika door een ZIP-archiefbestand met de naam 'crowdstrike-hotfix.zip' te verspreiden. Dit bestand bevatte een malware-lader, Hijack Loader, die vervolgens de Remcos RAT-payload lanceerde.

Het ZIP-archief bevatte een tekstbestand ('instrucciones.txt') met Spaanstalige instructies, waarin de doelen werden aangespoord een uitvoerbaar bestand ('setup.exe') uit te voeren om zogenaamd het probleem te herstellen. Het gebruik van Spaanse bestandsnamen en instructies duidt op een gerichte campagne gericht op CrowdStrike-klanten uit Latijns-Amerika.

Conclusie

Remcos RAT is een krachtige en veelzijdige malware die een aanzienlijke bedreiging vormt voor Windows-systemen. Het vermogen om detectie te omzeilen, hogere rechten te verkrijgen en uitgebreide gegevens te verzamelen, maakt het een favoriet hulpmiddel onder cybercriminelen. Door de implementatiemethoden, mogelijkheden en impact ervan te begrijpen, kunnen organisaties zich beter verdedigen tegen deze kwaadaardige software. Het implementeren van robuuste beveiligingsmaatregelen en waakzaam blijven tegen phishing-aanvallen zijn cruciale stappen om het risico van Remcos RAT te beperken.

SpyHunter detecteert en verwijdert RemcosRAT

RemcosRAT Video

Tip: Zet je geluid AAN en bekijk de video in de modus Volledig scherm.

Bestandssysteemdetails

RemcosRAT kan de volgende bestanden maken:
# Bestandsnaam MD5 Detecties
1. 7g1cq51137eqs.exe aeca465c269f3bd7b5f67bc9da8489cb 83
2. 321.exe d435cebd8266fa44111ece457a1bfba1 45
3. windslfj.exe 968650761a5d13c26197dbf26c56552a 5
4. file.exe 83dd9dacb72eaa793e982882809eb9d5 5
5. Legit Program.exe cd2c23deea7f1eb6b19a42fd3affb0ee 3
6. unseen.exe d8cff8ec41992f25ef3127e32e379e3b 2
7. file.exe 601ceb7114eefefd1579fae7b0236e66 1
8. file.exe c9923150d5c18e4932ed449c576f7942 1
9. file.exe 20dc88560b9e77f61c8a88f8bcf6571f 1
10. file.exe c41f7add0295861e60501373d87d586d 1
11. file.exe 8671446732d37b3ad4c120ca2b39cfca 0
12. File.exe 35b954d9a5435f369c59cd9d2515c931 0
13. file.exe 3e25268ff17b48da993b74549de379f4 0
14. file.exe b79dcc45b3d160bce8a462abb44e9490 0
15. file.exe 390ebb54156149b66b77316a8462e57d 0
16. e12cd6fe497b42212fa8c9c19bf51088 e12cd6fe497b42212fa8c9c19bf51088 0
17. file.exe 1d785c1c5d2a06d0e519d40db5b2390a 0
18. file.exe f48496b58f99bb6ec9bc35e5e8dc63b8 0
19. file.exe 5f50bcd2cad547c4e766bdd7992bc12a 0
20. file.exe 1645b2f23ece660689172547bd2fde53 0
21. 50a62912a3a282b1b11f78f23d0e5906 50a62912a3a282b1b11f78f23d0e5906 0

Registerdetails

RemcosRAT kan de volgende registervermelding of registervermeldingen maken:
Regexp file mask
%APPDATA%\aitagent\aitagent.exe
%APPDATA%\Analysernes1.exe
%APPDATA%\Audiohd.exe
%APPDATA%\Bagsmks8.exe
%APPDATA%\Behandlingens[RANDOM CHARACTERS].exe
%APPDATA%\Brnevrelser[RANDOM CHARACTERS].exe
%appdata%\calc.exe
%APPDATA%\chrome\chrome.exe
%APPDATA%\deseret.pif
%APPDATA%\explorer\explore.exe
%APPDATA%\Extortioner.exe
%APPDATA%\firewall.exe
%APPDATA%\foc\foc.exe
%APPDATA%\Holmdel8.exe
%APPDATA%\Install\laeu.exe
%APPDATA%\Irenas.exe
%APPDATA%\Javaw\Javaw.exe
%APPDATA%\Machree[RANDOM CHARACTERS].exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\filename.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\firewall.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Holmdel8.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Legit Program.exe
%APPDATA%\Mozila\Mozila.exe
%APPDATA%\newremcos.exe
%APPDATA%\remcos.exe
%APPDATA%\SearchUI.exe
%APPDATA%\Smartse\smartse.exe
%AppData%\spoolsv.exe
%APPDATA%\System\logs.dat
%APPDATA%\Tornlst.exe
%APPDATA%\WindowsDefender\WindowsDefender.exe
%PROGRAMFILES%\AppData\drivers.exe
%TEMP%\Name of the melted file.exe
%WINDIR%\System32\remcomsvc.exe
%WINDIR%\SysWOW64\remcomsvc.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\remcos
SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\remcos

Directories

RemcosRAT kan de volgende map of mappen maken:

%ALLUSERSPROFILE%\task manager
%APPDATA%\Badlion
%APPDATA%\Extress
%APPDATA%\GoogleChrome
%APPDATA%\JagexLIVE
%APPDATA%\Remc
%APPDATA%\Shockwave
%APPDATA%\appdata
%APPDATA%\googlecrome
%APPDATA%\hyerr
%APPDATA%\loader
%APPDATA%\pdf
%APPDATA%\remcoco
%APPDATA%\ujmcos
%APPDATA%\verify
%APPDATA%\windir
%AppData%\remcos
%PROGRAMFILES(x86)%\Microsft Word
%TEMP%\commonafoldersz
%TEMP%\remcos
%Userprofile%\remcos
%WINDIR%\SysWOW64\Adobe Inc
%WINDIR%\SysWOW64\remcos
%WINDIR%\SysWOW64\skype
%WINDIR%\System32\rel
%WINDIR%\System32\remcos
%WINDIR%\notepad++
%WINDIR%\remcos

Trending

Meest bekeken

Bezig met laden...