RemcosRAT

Cartão de pontuação de ameaças

Classificação: 4,425
Nível da Ameaça: 80 % (Alto)
Computadores infectados: 26,563
Visto pela Primeira Vez: October 16, 2016
Visto pela Última Vez: August 5, 2024
SO (s) Afetados: Windows

Remcos RAT (Trojan de acesso remoto) é um malware sofisticado projetado para se infiltrar e controlar os sistemas operacionais Windows. Desenvolvido e vendido por uma empresa alemã chamada Breaking Security como uma ferramenta legítima de controle remoto e vigilância, o Remcos é frequentemente utilizado por cibercriminosos para fins maliciosos. Este artigo investiga as características, capacidades, impactos e defesas relacionadas ao Remcos RAT, bem como incidentes notáveis recentes envolvendo sua implantação.

Métodos de implantação e infecção

Ataques de phishing
O Remcos normalmente é distribuído por meio de ataques de phishing, em que usuários desavisados são induzidos a baixar e executar arquivos maliciosos. Esses e-mails de phishing geralmente contêm:

Arquivos ZIP maliciosos disfarçados de PDFs, alegando ser faturas ou pedidos.
Documentos do Microsoft Office com macros maliciosas incorporadas projetadas para implantar o malware após a ativação.

Técnicas de Evasão
Para evitar a detecção, a Remcos emprega técnicas avançadas como:

  • Injeção de Processo ou Process Hollowing : Este método permite que o Remcos seja executado dentro de um processo legítimo, evitando assim a detecção por software antivírus.
  • Mecanismos de Persistência : Uma vez instalado, o Remcos garante que permaneça ativo, empregando mecanismos que permitem sua execução em segundo plano, oculto ao usuário.

Infraestrutura de Comando e Controle (C2)

Uma capacidade central do Remcos é sua funcionalidade de Comando e Controle (C2). O malware criptografa seu tráfego de comunicação a caminho do servidor C2, dificultando a interceptação e análise dos dados pelas medidas de segurança da rede. Remcos usa DNS distribuído (DDNS) para criar vários domínios para seus servidores C2. Essa técnica ajuda o malware a escapar das proteções de segurança que dependem da filtragem do tráfego para domínios maliciosos conhecidos, aumentando sua resiliência e persistência.

Capacidades do Remcos RAT

Remcos RAT é uma ferramenta poderosa que oferece inúmeras capacidades aos invasores, permitindo amplo controle e exploração de sistemas infectados:

Elevação de privilégio
Remcos pode obter permissões de administrador em um sistema infectado, permitindo:

  • Desative o Controle de Conta de Usuário (UAC).
  • Execute várias funções maliciosas com privilégios elevados.

Evasão de Defesa
Ao usar a injeção de processo, o Remcos se integra a processos legítimos, dificultando a detecção do software antivírus. Além disso, sua capacidade de execução em segundo plano oculta ainda mais sua presença dos usuários.

Coleção de dados

Remcos é especialista em coletar uma ampla gama de dados do sistema infectado, incluindo:

  • Teclas
  • Capturas de tela
  • Gravações de áudio
  • Conteúdo da área de transferência
  • Senhas armazenadas

Impacto de uma infecção Remcos RAT

As consequências de uma infecção por Remcos são significativas e multifacetadas, afetando tanto utilizadores individuais como organizações:

  • Aquisição de conta
    Ao registrar as teclas digitadas e roubar senhas, o Remcos permite que invasores assumam o controle de contas online e outros sistemas, levando potencialmente a mais roubo de dados e acesso não autorizado na rede de uma organização.
  • Roubo de dados
    Remcos é capaz de exfiltrar dados confidenciais do sistema infectado. Isso pode resultar em violações de dados, diretamente do computador comprometido ou de outros sistemas acessados usando credenciais roubadas.
  • Infecções subsequentes
    Uma infecção pelo Remcos pode servir como porta de entrada para a implantação de variantes adicionais de malware. Isto aumenta o risco de ataques subsequentes, como infecções por ransomware, agravando ainda mais os danos.

Proteção contra malware Remcos

As organizações podem adotar diversas estratégias e práticas recomendadas para se proteger contra infecções por Remcos:

Verificação de e-mail
A implementação de soluções de verificação de e-mail que identificam e bloqueiam e-mails suspeitos pode impedir a entrega inicial de Remcos nas caixas de entrada dos usuários.

Análise de Domínio
Monitorar e analisar registros de domínio solicitados por endpoints pode ajudar a identificar e bloquear domínios jovens ou suspeitos que possam estar associados ao Remcos.

Análise de tráfego de rede
Variantes do Remcos que criptografam seu tráfego usando protocolos não padrão podem ser detectadas por meio de análise de tráfego de rede, que pode sinalizar padrões de tráfego incomuns para investigação adicional.

Segurança de terminais
A implantação de soluções de segurança de endpoint com capacidade de detectar e remediar infecções por Remcos é crucial. Estas soluções baseiam-se em indicadores de comprometimento estabelecidos para identificar e neutralizar o malware.

Exploração da interrupção do CrowdStrike

Num incidente recente, os cibercriminosos exploraram uma interrupção mundial da empresa de segurança cibernética CrowdStrike para distribuir o Remcos RAT. Os invasores tiveram como alvo os clientes da CrowdStrike na América Latina, distribuindo um arquivo ZIP chamado 'crowdstrike-hotfix.zip'. Este arquivo continha um carregador de malware, Hijack Loader, que posteriormente lançou a carga útil do Remcos RAT.

O arquivo ZIP incluía um arquivo de texto ('instrucciones.txt') com instruções em espanhol, solicitando aos alvos que executassem um arquivo executável ('setup.exe') para supostamente se recuperarem do problema. O uso de nomes de arquivos e instruções em espanhol indica uma campanha direcionada aos clientes da CrowdStrike na América Latina.

Conclusão

Remcos RAT é um malware potente e versátil que representa uma ameaça significativa aos sistemas Windows. Sua capacidade de evitar a detecção, obter privilégios elevados e coletar dados extensos o torna uma ferramenta preferida entre os cibercriminosos. Ao compreender seus métodos de implantação, capacidades e impactos, as organizações podem se defender melhor contra esse software malicioso. Implementar medidas de segurança robustas e permanecer vigilante contra ataques de phishing são passos cruciais para mitigar o risco representado pelo Remcos RAT.

SpyHunter detecta e remove RemcosRAT

RemcosRAT Vídeo

Dica: Ligue o som e assistir o vídeo em modo de tela cheia.

Detalhes Sobre os Arquivos do Sistema

RemcosRAT pode criar o(s) seguinte(s) arquivo(s):
# Nome do arquivo MD5 Detecções
1. 7g1cq51137eqs.exe aeca465c269f3bd7b5f67bc9da8489cb 83
2. 321.exe d435cebd8266fa44111ece457a1bfba1 45
3. windslfj.exe 968650761a5d13c26197dbf26c56552a 5
4. file.exe 83dd9dacb72eaa793e982882809eb9d5 5
5. Legit Program.exe cd2c23deea7f1eb6b19a42fd3affb0ee 3
6. unseen.exe d8cff8ec41992f25ef3127e32e379e3b 2
7. file.exe 601ceb7114eefefd1579fae7b0236e66 1
8. file.exe c9923150d5c18e4932ed449c576f7942 1
9. file.exe 20dc88560b9e77f61c8a88f8bcf6571f 1
10. file.exe c41f7add0295861e60501373d87d586d 1
11. file.exe 8671446732d37b3ad4c120ca2b39cfca 0
12. File.exe 35b954d9a5435f369c59cd9d2515c931 0
13. file.exe 3e25268ff17b48da993b74549de379f4 0
14. file.exe b79dcc45b3d160bce8a462abb44e9490 0
15. file.exe 390ebb54156149b66b77316a8462e57d 0
16. e12cd6fe497b42212fa8c9c19bf51088 e12cd6fe497b42212fa8c9c19bf51088 0
17. file.exe 1d785c1c5d2a06d0e519d40db5b2390a 0
18. file.exe f48496b58f99bb6ec9bc35e5e8dc63b8 0
19. file.exe 5f50bcd2cad547c4e766bdd7992bc12a 0
20. file.exe 1645b2f23ece660689172547bd2fde53 0
21. 50a62912a3a282b1b11f78f23d0e5906 50a62912a3a282b1b11f78f23d0e5906 0

Detalhes sobre o Registro

RemcosRAT pode criar a seguinte entrada de registro ou entradas de registro:
Regexp file mask
%APPDATA%\aitagent\aitagent.exe
%APPDATA%\Analysernes1.exe
%APPDATA%\Audiohd.exe
%APPDATA%\Bagsmks8.exe
%APPDATA%\Behandlingens[RANDOM CHARACTERS].exe
%APPDATA%\Brnevrelser[RANDOM CHARACTERS].exe
%appdata%\calc.exe
%APPDATA%\chrome\chrome.exe
%APPDATA%\deseret.pif
%APPDATA%\explorer\explore.exe
%APPDATA%\Extortioner.exe
%APPDATA%\firewall.exe
%APPDATA%\foc\foc.exe
%APPDATA%\Holmdel8.exe
%APPDATA%\Install\laeu.exe
%APPDATA%\Irenas.exe
%APPDATA%\Javaw\Javaw.exe
%APPDATA%\Machree[RANDOM CHARACTERS].exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\filename.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\firewall.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Holmdel8.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Legit Program.exe
%APPDATA%\Mozila\Mozila.exe
%APPDATA%\newremcos.exe
%APPDATA%\remcos.exe
%APPDATA%\SearchUI.exe
%APPDATA%\Smartse\smartse.exe
%AppData%\spoolsv.exe
%APPDATA%\System\logs.dat
%APPDATA%\Tornlst.exe
%APPDATA%\WindowsDefender\WindowsDefender.exe
%PROGRAMFILES%\AppData\drivers.exe
%TEMP%\Name of the melted file.exe
%WINDIR%\System32\remcomsvc.exe
%WINDIR%\SysWOW64\remcomsvc.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\remcos
SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\remcos

Diretórios

RemcosRAT pode criar o seguinte diretório ou diretórios:

%ALLUSERSPROFILE%\task manager
%APPDATA%\Badlion
%APPDATA%\Extress
%APPDATA%\GoogleChrome
%APPDATA%\JagexLIVE
%APPDATA%\Remc
%APPDATA%\Shockwave
%APPDATA%\appdata
%APPDATA%\googlecrome
%APPDATA%\hyerr
%APPDATA%\loader
%APPDATA%\pdf
%APPDATA%\remcoco
%APPDATA%\ujmcos
%APPDATA%\verify
%APPDATA%\windir
%AppData%\remcos
%PROGRAMFILES(x86)%\Microsft Word
%TEMP%\commonafoldersz
%TEMP%\remcos
%Userprofile%\remcos
%WINDIR%\SysWOW64\Adobe Inc
%WINDIR%\SysWOW64\remcos
%WINDIR%\SysWOW64\skype
%WINDIR%\System32\rel
%WINDIR%\System32\remcos
%WINDIR%\notepad++
%WINDIR%\remcos

Tendendo

Mais visto

Carregando...