A Microsoft Alerta sobre Campanhas de Spam Espalhando o Remcos RAT

No início de maio de 2020, a Microsoft alertou para uma série de campanhas de spam maliciosas que estavam espalhando o Remcos RAT (Trojan de Acesso Remoto). O Remcos permite acesso e controle praticamente ilimitados sobre a máquina infectada após a sua implantação. A descoberta foi feita pelos algoritmos de detecção da máquina de aprendizado da empresa.

Imagens do Disco Mal-Intencionado Usado pelos Fraudadores

As campanhas de spam foram novamente construídas em torno de emails com tópicos relacionados à pandemia em curso do COVID-19. As entidades-alvo eram empresas de vários setores localizados em todo o mundo. O anexo malicioso usado nas campanhas era a imagem de um disco que era um arquivo .iso ou .img. Embora essa não seja a maneira mais comum de compactar malwares, a Microsoft apontou que não é exclusivo e já foi usado antes.

Carga Útil como um Documento PDF

Um exemplo de e-mail de spam com iscas maliciosas publicado pela Microsoft promete concessões e empréstimos a vítimas de desastres para empresas em dificuldades. Contida no arquivo de imagem do disco está a carga útil - o Remcos RAT. Depois que a imagem é carregada no Windows e o conteúdo do disco é examinado, a vítima vê um arquivo PDF falso que, na verdade, é um executável com um ícone trocado. A abertura do documento falso implanta a carga útil e o Remcos é instalado.

Outra campanha teve como alvo as empresas sul-coreanas, usando um alerta falso do Center for Disease Control. Dessa vez, a imagem do disco continha um arquivo .scr que se apresentava como um documento PDF que era a a carga útil.

Uma terceira campanha detectada pela Microsoft estava visando contadores nos EUA. Dessa vez, as iscas foram atualizadas falsamente relacionadas ao vírus COVID-19, especificamente direcionado a membros do Instituto Americano de Contadores Públicos Certificados. O anexo malicioso nessa campanha era um arquivo zip, contendo a imagem de um disco .iso com o arquivo malicioso .scr dentro.

A Microsoft acredita que as campanhas são conduzidas propositalmente com um escopo relativamente pequeno, em um esforço para voar sob o radar. Há também o medo de que os maus autores por trás dessas campanhas de spam estejam testando o terreno e se preparando para ataques futuros mais sérios em locais onde a infecção pelo Remcos passou, possivelmente implantando ransomware em um momento posterior.