RemcosRAT
Tabloul de scor amenințări
EnigmaSoft Threat Scorecard
EnigmaSoft Threat Scorecards sunt rapoarte de evaluare pentru diferite amenințări malware care au fost colectate și analizate de echipa noastră de cercetare. EnigmaSoft Threat Scorecards evaluează și clasifică amenințările folosind mai multe valori, inclusiv factori de risc din lumea reală și potențiali, tendințe, frecvență, prevalență și persistență. EnigmaSoft Threat Scorecards sunt actualizate în mod regulat pe baza datelor și valorilor noastre de cercetare și sunt utile pentru o gamă largă de utilizatori de computere, de la utilizatorii finali care caută soluții pentru a elimina programele malware din sistemele lor până la experții în securitate care analizează amenințările.
EnigmaSoft Threat Scorecards afișează o varietate de informații utile, inclusiv:
Clasament: clasamentul unei anumite amenințări în baza de date a amenințărilor EnigmaSoft.
Nivel de severitate: nivelul de severitate determinat al unui obiect, reprezentat numeric, pe baza procesului și cercetării noastre de modelare a riscului, așa cum este explicat în Criteriile noastre de evaluare a amenințărilor .
Calculatoare infectate: numărul de cazuri confirmate și suspectate ale unei anumite amenințări detectate pe computerele infectate, așa cum este raportat de SpyHunter.
Consultați și Criteriile de evaluare a amenințărilor .
Clasament: | 4,425 |
Nivel de amenintare: | 80 % (Înalt) |
Calculatoare infectate: | 26,563 |
Prima vedere: | October 16, 2016 |
Vazut ultima data: | August 5, 2024 |
OS afectat(e): | Windows |
Remcos RAT (Remote Access Trojan) este un malware sofisticat conceput pentru a infiltra și controla sistemele de operare Windows. Dezvoltat și vândut de o companie germană numită Breaking Security ca instrument legitim de control și supraveghere de la distanță, Remcos este adesea abuzat de infractorii cibernetici în scopuri rău intenționate. Acest articol analizează caracteristicile, capacitățile, impacturile și apărările legate de Remcos RAT, precum și incidentele notabile recente care implică implementarea acestuia.
Cuprins
Metode de implementare și infecție
Atacurile de phishing
Remcos este distribuit de obicei prin atacuri de phishing, în care utilizatorii nebănuiți sunt păcăliți să descarce și să execute fișiere rău intenționate. Aceste e-mailuri de phishing conțin adesea:
Fișiere ZIP rău intenționate deghizate în fișiere PDF, care pretind a fi facturi sau comenzi.
Documente Microsoft Office cu macrocomenzi rău intenționate încorporate concepute pentru a implementa programul malware la activare.
Tehnici de evaziune
Pentru a evita detectarea, Remcos folosește tehnici avansate, cum ar fi:
- Process Injection sau Process Hollowing : Această metodă permite Remcos să execute într-un proces legitim, evitând astfel detectarea de către software-ul antivirus.
- Mecanisme de persistență : Odată instalat, Remcos se asigură că rămâne activ prin folosirea unor mecanisme care îi permit să ruleze în fundal, ascunse de utilizator.
Infrastructură de comandă și control (C2).
O capacitate de bază a Remcos este funcționalitatea sa de comandă și control (C2). Malware-ul își criptează traficul de comunicații în drum spre serverul C2, îngreunând măsurile de securitate a rețelei să intercepteze și să analizeze datele. Remcos folosește DNS distribuit (DDNS) pentru a crea mai multe domenii pentru serverele sale C2. Această tehnică ajută malware-ul să evite protecțiile de securitate care se bazează pe filtrarea traficului către domeniile rău intenționate cunoscute, sporind rezistența și persistența acestuia.
Capabilitățile Remcos RAT
Remcos RAT este un instrument puternic care oferă numeroase capacități atacatorilor, permițând controlul extins și exploatarea sistemelor infectate:
Elevație de privilegii
Remcos poate obține permisiuni de administrator pe un sistem infectat, permițându-i să:
- Dezactivați Controlul contului utilizatorului (UAC).
- Executați diverse funcții rău intenționate cu privilegii ridicate.
Evaziunea apărării
Prin utilizarea procesului de injectare, Remcos se integrează în procesele legitime, ceea ce face dificilă detectarea software-ului antivirus. În plus, capacitatea sa de a rula în fundal își ascunde și mai mult prezența utilizatorilor.
Colectare de date
Remcos este priceput la colectarea unei game largi de date din sistemul infectat, inclusiv:
- Apăsări de taste
- Capturi de ecran
- Înregistrări audio
- Conținutul clipboard-ului
- Parole stocate
Impactul unei infecții cu RAT Remcos
Consecințele unei infecții cu Remcos sunt semnificative și cu multiple fațete, afectând atât utilizatorii individuali, cât și organizațiile:
- Preluare cont
Înregistrând apăsările de la taste și furând parole, Remcos le permite atacatorilor să preia conturi online și alte sisteme, ceea ce poate duce la furtul suplimentar de date și accesul neautorizat în rețeaua unei organizații. - Furtul de date
Remcos este capabil să exfiltreze date sensibile din sistemul infectat. Acest lucru poate duce la încălcări ale datelor, fie direct de la computerul compromis, fie de la alte sisteme accesate folosind acreditări furate. - Infecții ulterioare
O infecție cu Remcos poate servi drept gateway pentru implementarea unor variante suplimentare de malware. Acest lucru crește riscul atacurilor ulterioare, cum ar fi infecțiile cu ransomware, exacerbând și mai mult daunele.
Protecție împotriva programelor malware Remcos
Organizațiile pot adopta mai multe strategii și bune practici pentru a se proteja împotriva infecțiilor cu Remcos:
Scanarea e-mailurilor
Implementarea soluțiilor de scanare a e-mailurilor care identifică și blochează e-mailurile suspecte poate împiedica livrarea inițială a Remcos în căsuțele de e-mail ale utilizatorilor.
Analiza domeniului
Monitorizarea și analiza înregistrărilor de domeniu solicitate de punctele finale poate ajuta la identificarea și blocarea domeniilor tinere sau suspecte care pot fi asociate cu Remcos.
Analiza traficului de rețea
Variantele Remcos care își criptează traficul folosind protocoale non-standard pot fi detectate prin analiza traficului de rețea, care poate semnala modele de trafic neobișnuite pentru investigații suplimentare.
Securitatea punctului final
Este crucială implementarea soluțiilor de securitate pentru punctele terminale cu capacitatea de a detecta și remedia infecțiile Remcos. Aceste soluții se bazează pe indicatori stabiliți de compromis pentru a identifica și neutraliza malware-ul.
Exploatarea întreruperii CrowdStrike
Într-un incident recent, infractorii cibernetici au exploatat o întrerupere la nivel mondial a companiei de securitate cibernetică CrowdStrike pentru a distribui Remcos RAT. Atacatorii au vizat clienții CrowdStrike din America Latină prin distribuirea unui fișier de arhivă ZIP numit „crowdstrike-hotfix.zip”. Acest fișier conținea un încărcător de malware, Hijack Loader, care a lansat ulterior sarcina utilă Remcos RAT.
Arhiva ZIP a inclus un fișier text („instrucciones.txt”) cu instrucțiuni în limba spaniolă, îndemnând țintele să ruleze un fișier executabil („setup.exe”) pentru a se pretinde să se recupereze din problemă. Utilizarea numelor de fișiere și a instrucțiunilor spaniole indică o campanie țintită destinată clienților CrowdStrike din America Latină.
Concluzie
Remcos RAT este un malware puternic și versatil care reprezintă o amenințare semnificativă pentru sistemele Windows. Capacitatea sa de a evita detectarea, de a obține privilegii ridicate și de a colecta date extinse îl face un instrument preferat în rândul infractorilor cibernetici. Înțelegând metodele, capacitățile și impacturile sale de implementare, organizațiile se pot apăra mai bine împotriva acestui software rău intenționat. Implementarea unor măsuri de securitate robuste și menținerea vigilentă împotriva atacurilor de tip phishing sunt pași cruciali în atenuarea riscului prezentat de Remcos RAT.
SpyHunter detectează și elimină RemcosRAT
RemcosRAT Video
Sfat: porniți sunetul și vizionați videoclipul în modul Ecran complet .
Detaliile sistemului de fișiere
# | Nume de fișier | MD5 |
Detectări
Detectări: numărul de cazuri confirmate și suspectate ale unei anumite amenințări detectate pe computerele infectate, așa cum este raportat de SpyHunter.
|
---|---|---|---|
1. | 7g1cq51137eqs.exe | aeca465c269f3bd7b5f67bc9da8489cb | 83 |
2. | 321.exe | d435cebd8266fa44111ece457a1bfba1 | 45 |
3. | windslfj.exe | 968650761a5d13c26197dbf26c56552a | 5 |
4. | file.exe | 83dd9dacb72eaa793e982882809eb9d5 | 5 |
5. | Legit Program.exe | cd2c23deea7f1eb6b19a42fd3affb0ee | 3 |
6. | unseen.exe | d8cff8ec41992f25ef3127e32e379e3b | 2 |
7. | file.exe | 601ceb7114eefefd1579fae7b0236e66 | 1 |
8. | file.exe | c9923150d5c18e4932ed449c576f7942 | 1 |
9. | file.exe | 20dc88560b9e77f61c8a88f8bcf6571f | 1 |
10. | file.exe | c41f7add0295861e60501373d87d586d | 1 |
11. | file.exe | 8671446732d37b3ad4c120ca2b39cfca | 0 |
12. | File.exe | 35b954d9a5435f369c59cd9d2515c931 | 0 |
13. | file.exe | 3e25268ff17b48da993b74549de379f4 | 0 |
14. | file.exe | b79dcc45b3d160bce8a462abb44e9490 | 0 |
15. | file.exe | 390ebb54156149b66b77316a8462e57d | 0 |
16. | e12cd6fe497b42212fa8c9c19bf51088 | e12cd6fe497b42212fa8c9c19bf51088 | 0 |
17. | file.exe | 1d785c1c5d2a06d0e519d40db5b2390a | 0 |
18. | file.exe | f48496b58f99bb6ec9bc35e5e8dc63b8 | 0 |
19. | file.exe | 5f50bcd2cad547c4e766bdd7992bc12a | 0 |
20. | file.exe | 1645b2f23ece660689172547bd2fde53 | 0 |
21. | 50a62912a3a282b1b11f78f23d0e5906 | 50a62912a3a282b1b11f78f23d0e5906 | 0 |
Detalii de registru
Directoare
RemcosRAT poate crea următorul director sau directoare:
%ALLUSERSPROFILE%\task manager |
%APPDATA%\Badlion |
%APPDATA%\Extress |
%APPDATA%\GoogleChrome |
%APPDATA%\JagexLIVE |
%APPDATA%\Remc |
%APPDATA%\Shockwave |
%APPDATA%\appdata |
%APPDATA%\googlecrome |
%APPDATA%\hyerr |
%APPDATA%\loader |
%APPDATA%\pdf |
%APPDATA%\remcoco |
%APPDATA%\ujmcos |
%APPDATA%\verify |
%APPDATA%\windir |
%AppData%\remcos |
%PROGRAMFILES(x86)%\Microsft Word |
%TEMP%\commonafoldersz |
%TEMP%\remcos |
%Userprofile%\remcos |
%WINDIR%\SysWOW64\Adobe Inc |
%WINDIR%\SysWOW64\remcos |
%WINDIR%\SysWOW64\skype |
%WINDIR%\System32\rel |
%WINDIR%\System32\remcos |
%WINDIR%\notepad++ |
%WINDIR%\remcos |