RemcosRAT

Tabloul de scor amenințări

Clasament: 4,425
Nivel de amenintare: 80 % (Înalt)
Calculatoare infectate: 26,563
Prima vedere: October 16, 2016
Vazut ultima data: August 5, 2024
OS afectat(e): Windows

Remcos RAT (Remote Access Trojan) este un malware sofisticat conceput pentru a infiltra și controla sistemele de operare Windows. Dezvoltat și vândut de o companie germană numită Breaking Security ca instrument legitim de control și supraveghere de la distanță, Remcos este adesea abuzat de infractorii cibernetici în scopuri rău intenționate. Acest articol analizează caracteristicile, capacitățile, impacturile și apărările legate de Remcos RAT, precum și incidentele notabile recente care implică implementarea acestuia.

Metode de implementare și infecție

Atacurile de phishing
Remcos este distribuit de obicei prin atacuri de phishing, în care utilizatorii nebănuiți sunt păcăliți să descarce și să execute fișiere rău intenționate. Aceste e-mailuri de phishing conțin adesea:

Fișiere ZIP rău intenționate deghizate în fișiere PDF, care pretind a fi facturi sau comenzi.
Documente Microsoft Office cu macrocomenzi rău intenționate încorporate concepute pentru a implementa programul malware la activare.

Tehnici de evaziune
Pentru a evita detectarea, Remcos folosește tehnici avansate, cum ar fi:

  • Process Injection sau Process Hollowing : Această metodă permite Remcos să execute într-un proces legitim, evitând astfel detectarea de către software-ul antivirus.
  • Mecanisme de persistență : Odată instalat, Remcos se asigură că rămâne activ prin folosirea unor mecanisme care îi permit să ruleze în fundal, ascunse de utilizator.

Infrastructură de comandă și control (C2).

O capacitate de bază a Remcos este funcționalitatea sa de comandă și control (C2). Malware-ul își criptează traficul de comunicații în drum spre serverul C2, îngreunând măsurile de securitate a rețelei să intercepteze și să analizeze datele. Remcos folosește DNS distribuit (DDNS) pentru a crea mai multe domenii pentru serverele sale C2. Această tehnică ajută malware-ul să evite protecțiile de securitate care se bazează pe filtrarea traficului către domeniile rău intenționate cunoscute, sporind rezistența și persistența acestuia.

Capabilitățile Remcos RAT

Remcos RAT este un instrument puternic care oferă numeroase capacități atacatorilor, permițând controlul extins și exploatarea sistemelor infectate:

Elevație de privilegii
Remcos poate obține permisiuni de administrator pe un sistem infectat, permițându-i să:

  • Dezactivați Controlul contului utilizatorului (UAC).
  • Executați diverse funcții rău intenționate cu privilegii ridicate.

Evaziunea apărării
Prin utilizarea procesului de injectare, Remcos se integrează în procesele legitime, ceea ce face dificilă detectarea software-ului antivirus. În plus, capacitatea sa de a rula în fundal își ascunde și mai mult prezența utilizatorilor.

Colectare de date

Remcos este priceput la colectarea unei game largi de date din sistemul infectat, inclusiv:

  • Apăsări de taste
  • Capturi de ecran
  • Înregistrări audio
  • Conținutul clipboard-ului
  • Parole stocate

Impactul unei infecții cu RAT Remcos

Consecințele unei infecții cu Remcos sunt semnificative și cu multiple fațete, afectând atât utilizatorii individuali, cât și organizațiile:

  • Preluare cont
    Înregistrând apăsările de la taste și furând parole, Remcos le permite atacatorilor să preia conturi online și alte sisteme, ceea ce poate duce la furtul suplimentar de date și accesul neautorizat în rețeaua unei organizații.
  • Furtul de date
    Remcos este capabil să exfiltreze date sensibile din sistemul infectat. Acest lucru poate duce la încălcări ale datelor, fie direct de la computerul compromis, fie de la alte sisteme accesate folosind acreditări furate.
  • Infecții ulterioare
    O infecție cu Remcos poate servi drept gateway pentru implementarea unor variante suplimentare de malware. Acest lucru crește riscul atacurilor ulterioare, cum ar fi infecțiile cu ransomware, exacerbând și mai mult daunele.

Protecție împotriva programelor malware Remcos

Organizațiile pot adopta mai multe strategii și bune practici pentru a se proteja împotriva infecțiilor cu Remcos:

Scanarea e-mailurilor
Implementarea soluțiilor de scanare a e-mailurilor care identifică și blochează e-mailurile suspecte poate împiedica livrarea inițială a Remcos în căsuțele de e-mail ale utilizatorilor.

Analiza domeniului
Monitorizarea și analiza înregistrărilor de domeniu solicitate de punctele finale poate ajuta la identificarea și blocarea domeniilor tinere sau suspecte care pot fi asociate cu Remcos.

Analiza traficului de rețea
Variantele Remcos care își criptează traficul folosind protocoale non-standard pot fi detectate prin analiza traficului de rețea, care poate semnala modele de trafic neobișnuite pentru investigații suplimentare.

Securitatea punctului final
Este crucială implementarea soluțiilor de securitate pentru punctele terminale cu capacitatea de a detecta și remedia infecțiile Remcos. Aceste soluții se bazează pe indicatori stabiliți de compromis pentru a identifica și neutraliza malware-ul.

Exploatarea întreruperii CrowdStrike

Într-un incident recent, infractorii cibernetici au exploatat o întrerupere la nivel mondial a companiei de securitate cibernetică CrowdStrike pentru a distribui Remcos RAT. Atacatorii au vizat clienții CrowdStrike din America Latină prin distribuirea unui fișier de arhivă ZIP numit „crowdstrike-hotfix.zip”. Acest fișier conținea un încărcător de malware, Hijack Loader, care a lansat ulterior sarcina utilă Remcos RAT.

Arhiva ZIP a inclus un fișier text („instrucciones.txt”) cu instrucțiuni în limba spaniolă, îndemnând țintele să ruleze un fișier executabil („setup.exe”) pentru a se pretinde să se recupereze din problemă. Utilizarea numelor de fișiere și a instrucțiunilor spaniole indică o campanie țintită destinată clienților CrowdStrike din America Latină.

Concluzie

Remcos RAT este un malware puternic și versatil care reprezintă o amenințare semnificativă pentru sistemele Windows. Capacitatea sa de a evita detectarea, de a obține privilegii ridicate și de a colecta date extinse îl face un instrument preferat în rândul infractorilor cibernetici. Înțelegând metodele, capacitățile și impacturile sale de implementare, organizațiile se pot apăra mai bine împotriva acestui software rău intenționat. Implementarea unor măsuri de securitate robuste și menținerea vigilentă împotriva atacurilor de tip phishing sunt pași cruciali în atenuarea riscului prezentat de Remcos RAT.

SpyHunter detectează și elimină RemcosRAT

RemcosRAT Video

Sfat: porniți sunetul și vizionați videoclipul în modul Ecran complet .

Detaliile sistemului de fișiere

RemcosRAT poate crea următoarele fișiere:
# Nume de fișier MD5 Detectări
1. 7g1cq51137eqs.exe aeca465c269f3bd7b5f67bc9da8489cb 83
2. 321.exe d435cebd8266fa44111ece457a1bfba1 45
3. windslfj.exe 968650761a5d13c26197dbf26c56552a 5
4. file.exe 83dd9dacb72eaa793e982882809eb9d5 5
5. Legit Program.exe cd2c23deea7f1eb6b19a42fd3affb0ee 3
6. unseen.exe d8cff8ec41992f25ef3127e32e379e3b 2
7. file.exe 601ceb7114eefefd1579fae7b0236e66 1
8. file.exe c9923150d5c18e4932ed449c576f7942 1
9. file.exe 20dc88560b9e77f61c8a88f8bcf6571f 1
10. file.exe c41f7add0295861e60501373d87d586d 1
11. file.exe 8671446732d37b3ad4c120ca2b39cfca 0
12. File.exe 35b954d9a5435f369c59cd9d2515c931 0
13. file.exe 3e25268ff17b48da993b74549de379f4 0
14. file.exe b79dcc45b3d160bce8a462abb44e9490 0
15. file.exe 390ebb54156149b66b77316a8462e57d 0
16. e12cd6fe497b42212fa8c9c19bf51088 e12cd6fe497b42212fa8c9c19bf51088 0
17. file.exe 1d785c1c5d2a06d0e519d40db5b2390a 0
18. file.exe f48496b58f99bb6ec9bc35e5e8dc63b8 0
19. file.exe 5f50bcd2cad547c4e766bdd7992bc12a 0
20. file.exe 1645b2f23ece660689172547bd2fde53 0
21. 50a62912a3a282b1b11f78f23d0e5906 50a62912a3a282b1b11f78f23d0e5906 0

Detalii de registru

RemcosRAT poate crea următoarea intrare de registry sau intrări de registry:
Regexp file mask
%APPDATA%\aitagent\aitagent.exe
%APPDATA%\Analysernes1.exe
%APPDATA%\Audiohd.exe
%APPDATA%\Bagsmks8.exe
%APPDATA%\Behandlingens[RANDOM CHARACTERS].exe
%APPDATA%\Brnevrelser[RANDOM CHARACTERS].exe
%appdata%\calc.exe
%APPDATA%\chrome\chrome.exe
%APPDATA%\deseret.pif
%APPDATA%\explorer\explore.exe
%APPDATA%\Extortioner.exe
%APPDATA%\firewall.exe
%APPDATA%\foc\foc.exe
%APPDATA%\Holmdel8.exe
%APPDATA%\Install\laeu.exe
%APPDATA%\Irenas.exe
%APPDATA%\Javaw\Javaw.exe
%APPDATA%\Machree[RANDOM CHARACTERS].exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\filename.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\firewall.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Holmdel8.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Legit Program.exe
%APPDATA%\Mozila\Mozila.exe
%APPDATA%\newremcos.exe
%APPDATA%\remcos.exe
%APPDATA%\SearchUI.exe
%APPDATA%\Smartse\smartse.exe
%AppData%\spoolsv.exe
%APPDATA%\System\logs.dat
%APPDATA%\Tornlst.exe
%APPDATA%\WindowsDefender\WindowsDefender.exe
%PROGRAMFILES%\AppData\drivers.exe
%TEMP%\Name of the melted file.exe
%WINDIR%\System32\remcomsvc.exe
%WINDIR%\SysWOW64\remcomsvc.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\remcos
SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\remcos

Directoare

RemcosRAT poate crea următorul director sau directoare:

%ALLUSERSPROFILE%\task manager
%APPDATA%\Badlion
%APPDATA%\Extress
%APPDATA%\GoogleChrome
%APPDATA%\JagexLIVE
%APPDATA%\Remc
%APPDATA%\Shockwave
%APPDATA%\appdata
%APPDATA%\googlecrome
%APPDATA%\hyerr
%APPDATA%\loader
%APPDATA%\pdf
%APPDATA%\remcoco
%APPDATA%\ujmcos
%APPDATA%\verify
%APPDATA%\windir
%AppData%\remcos
%PROGRAMFILES(x86)%\Microsft Word
%TEMP%\commonafoldersz
%TEMP%\remcos
%Userprofile%\remcos
%WINDIR%\SysWOW64\Adobe Inc
%WINDIR%\SysWOW64\remcos
%WINDIR%\SysWOW64\skype
%WINDIR%\System32\rel
%WINDIR%\System32\remcos
%WINDIR%\notepad++
%WINDIR%\remcos

Trending

Cele mai văzute

Se încarcă...