РемкосРАТ
Карта показателей угрозы
Карта оценки угроз EnigmaSoft
EnigmaSoft Threat Scorecards — это отчеты об оценке различных вредоносных программ, которые были собраны и проанализированы нашей исследовательской группой. EnigmaSoft Threat Scorecards оценивает и ранжирует угрозы, используя несколько показателей, включая реальные и потенциальные факторы риска, тенденции, частоту, распространенность и постоянство. EnigmaSoft Threat Scorecards регулярно обновляются на основе данных и показателей наших исследований и полезны для широкого круга пользователей компьютеров, от конечных пользователей, ищущих решения для удаления вредоносных программ из своих систем, до экспертов по безопасности, анализирующих угрозы.
EnigmaSoft Threat Scorecards отображает разнообразную полезную информацию, в том числе:
Рейтинг: рейтинг конкретной угрозы в базе данных угроз EnigmaSoft.
Уровень серьезности: определенный уровень серьезности объекта, представленный в числовом виде на основе нашего процесса моделирования рисков и исследований, как описано в наших критериях оценки угроз .
Зараженные компьютеры: количество подтвержденных и предполагаемых случаев конкретной угрозы, обнаруженной на зараженных компьютерах, по данным SpyHunter.
См. также Критерии оценки угроз .
Рейтинг: | 4,425 |
Уровень угрозы: | 80 % (Высокая) |
Зараженные компьютеры: | 26,563 |
Первый раз: | October 16, 2016 |
Последний визит: | August 5, 2024 |
ОС(а) Затронутые: | Windows |
Remcos RAT (троян удаленного доступа) — это сложное вредоносное ПО, предназначенное для проникновения в операционные системы Windows и управления ими. Remcos, разработанный и продаваемый немецкой компанией Breaking Security как законный инструмент дистанционного управления и наблюдения, часто используется киберпреступниками в злонамеренных целях. В этой статье рассматриваются характеристики, возможности, последствия и средства защиты, связанные с Remcos RAT, а также недавние заметные инциденты, связанные с его развертыванием.
Оглавление
Методы развертывания и заражения
Фишинговые атаки
Remcos обычно распространяется посредством фишинговых атак, в ходе которых ничего не подозревающих пользователей обманом заставляют загружать и запускать вредоносные файлы. Эти фишинговые письма часто содержат:
Вредоносные ZIP-файлы, замаскированные под PDF-файлы и выдающие себя за счета-фактуры или заказы.
Документы Microsoft Office со встроенными вредоносными макросами, предназначенными для развертывания вредоносного ПО при активации.
Техники уклонения
Чтобы избежать обнаружения, Remcos использует передовые методы, такие как:
- Внедрение процесса или удаление процесса : этот метод позволяет Remcos выполняться в рамках законного процесса, тем самым избегая обнаружения антивирусным программным обеспечением.
- Механизмы сохранения : после установки Remcos гарантирует, что он останется активным, используя механизмы, которые позволяют ему работать в фоновом режиме, скрыто от пользователя.
Инфраструктура командования и управления (C2)
Основная возможность Remcos — это функциональность управления и контроля (C2). Вредоносное ПО шифрует свой коммуникационный трафик на пути к серверу C2, что затрудняет перехват и анализ данных мерами сетевой безопасности. Remcos использует распределенный DNS (DDNS) для создания нескольких доменов для своих серверов C2. Этот метод помогает вредоносному ПО обходить средства защиты, которые основаны на фильтрации трафика к известным вредоносным доменам, повышая его устойчивость и устойчивость.
Возможности Remcos RAT
Remcos RAT — это мощный инструмент, который предлагает злоумышленникам многочисленные возможности, позволяющие осуществлять обширный контроль и эксплуатацию зараженных систем:
Повышение привилегий
Remcos может получить права администратора в зараженной системе, что позволяет ей:
- Отключите контроль учетных записей пользователей (UAC).
- Выполнять различные вредоносные функции с повышенными привилегиями.
Уклонение от защиты
Используя внедрение процессов, Remcos встраивается в законные процессы, что затрудняет обнаружение антивирусным программным обеспечением. Кроме того, его способность работать в фоновом режиме еще больше скрывает его присутствие от пользователей.
Сбор данных
Remcos умеет собирать широкий спектр данных из зараженной системы, в том числе:
- Нажатия клавиш
- Скриншоты
- Аудиозаписи
- Содержимое буфера обмена
- Сохраненные пароли
Влияние инфекции Remco RAT
Последствия заражения Remcos значительны и многогранны и затрагивают как отдельных пользователей, так и организации:
- захват аккаунта
Регистрируя нажатия клавиш и похищая пароли, Remcos позволяет злоумышленникам захватывать онлайн-аккаунты и другие системы, что потенциально может привести к дальнейшей краже данных и несанкционированному доступу в сети организации. - Кража данных
Remcos способен извлекать конфиденциальные данные из зараженной системы. Это может привести к утечке данных либо непосредственно с взломанного компьютера, либо из других систем, доступ к которым осуществляется с использованием украденных учетных данных. - Последующие инфекции
Заражение Remcos может служить шлюзом для развертывания дополнительных вариантов вредоносного ПО. Это увеличивает риск последующих атак, таких как заражение программами-вымогателями, что еще больше усугубляет ущерб.
Защита от вредоносного ПО Remcos
Организации могут принять несколько стратегий и лучших практик для защиты от инфекций Remcos:
Сканирование электронной почты
Внедрение решений для сканирования электронной почты, которые идентифицируют и блокируют подозрительные электронные письма, может предотвратить первоначальную доставку Remcos в почтовые ящики пользователей.
Анализ домена
Мониторинг и анализ записей домена, запрошенных конечными точками, может помочь выявить и заблокировать молодые или подозрительные домены, которые могут быть связаны с Remcos.
Анализ сетевого трафика
Варианты Remcos, которые шифруют свой трафик с использованием нестандартных протоколов, можно обнаружить с помощью анализа сетевого трафика, который может выявить необычные шаблоны трафика для дальнейшего расследования.
Конечная безопасность
Развертывание решений по обеспечению безопасности конечных точек с возможностью обнаружения и устранения инфекций Remcos имеет решающее значение. Эти решения основаны на установленных индикаторах компрометации для выявления и нейтрализации вредоносного ПО.
Использование сбоя CrowdStrike
В ходе недавнего инцидента киберпреступники воспользовались сбоем в работе компании по обеспечению кибербезопасности CrowdStrike по всему миру для распространения Remcos RAT. Злоумышленники нацелились на клиентов CrowdStrike в Латинской Америке, распространяя ZIP-архив с именем «crowdstrike-hotfix.zip». Этот файл содержал загрузчик вредоносного ПО Hijack Loader, который впоследствии запускал полезную нагрузку Remcos RAT.
ZIP-архив содержал текстовый файл («instrucciones.txt») с инструкциями на испанском языке, призывающими жертву запустить исполняемый файл («setup.exe»), чтобы якобы устранить проблему. Использование названий файлов и инструкций на испанском языке указывает на целевую кампанию, направленную на клиентов CrowdStrike из Латинской Америки.
Заключение
Remcos RAT — мощное и универсальное вредоносное ПО, представляющее значительную угрозу для систем Windows. Его способность уклоняться от обнаружения, получать повышенные привилегии и собирать обширные данные делает его излюбленным инструментом среди киберпреступников. Понимая методы, возможности и последствия его развертывания, организации могут лучше защититься от этого вредоносного программного обеспечения. Внедрение надежных мер безопасности и бдительность в отношении фишинговых атак являются важными шагами в снижении риска, исходящего от Remcos RAT.
SpyHunter обнаруживает и удаляет РемкосРАТ
РемкосРАТ Видео
Совет: Включите звук ON и смотреть видео в полноэкранном режиме.
Сведения о файловой системе
# | Имя файла | MD5 |
Обнаружения
Обнаружения: количество подтвержденных и предполагаемых случаев конкретной угрозы, обнаруженных на зараженных компьютерах, согласно данным SpyHunter.
|
---|---|---|---|
1. | 7g1cq51137eqs.exe | aeca465c269f3bd7b5f67bc9da8489cb | 83 |
2. | 321.exe | d435cebd8266fa44111ece457a1bfba1 | 45 |
3. | windslfj.exe | 968650761a5d13c26197dbf26c56552a | 5 |
4. | file.exe | 83dd9dacb72eaa793e982882809eb9d5 | 5 |
5. | Legit Program.exe | cd2c23deea7f1eb6b19a42fd3affb0ee | 3 |
6. | unseen.exe | d8cff8ec41992f25ef3127e32e379e3b | 2 |
7. | file.exe | 601ceb7114eefefd1579fae7b0236e66 | 1 |
8. | file.exe | c9923150d5c18e4932ed449c576f7942 | 1 |
9. | file.exe | 20dc88560b9e77f61c8a88f8bcf6571f | 1 |
10. | file.exe | c41f7add0295861e60501373d87d586d | 1 |
11. | file.exe | 8671446732d37b3ad4c120ca2b39cfca | 0 |
12. | File.exe | 35b954d9a5435f369c59cd9d2515c931 | 0 |
13. | file.exe | 3e25268ff17b48da993b74549de379f4 | 0 |
14. | file.exe | b79dcc45b3d160bce8a462abb44e9490 | 0 |
15. | file.exe | 390ebb54156149b66b77316a8462e57d | 0 |
16. | e12cd6fe497b42212fa8c9c19bf51088 | e12cd6fe497b42212fa8c9c19bf51088 | 0 |
17. | file.exe | 1d785c1c5d2a06d0e519d40db5b2390a | 0 |
18. | file.exe | f48496b58f99bb6ec9bc35e5e8dc63b8 | 0 |
19. | file.exe | 5f50bcd2cad547c4e766bdd7992bc12a | 0 |
20. | file.exe | 1645b2f23ece660689172547bd2fde53 | 0 |
21. | 50a62912a3a282b1b11f78f23d0e5906 | 50a62912a3a282b1b11f78f23d0e5906 | 0 |
Детали реестра
Каталоги
РемкосРАТ может создать следующий каталог или каталоги:
%ALLUSERSPROFILE%\task manager |
%APPDATA%\Badlion |
%APPDATA%\Extress |
%APPDATA%\GoogleChrome |
%APPDATA%\JagexLIVE |
%APPDATA%\Remc |
%APPDATA%\Shockwave |
%APPDATA%\appdata |
%APPDATA%\googlecrome |
%APPDATA%\hyerr |
%APPDATA%\loader |
%APPDATA%\pdf |
%APPDATA%\remcoco |
%APPDATA%\ujmcos |
%APPDATA%\verify |
%APPDATA%\windir |
%AppData%\remcos |
%PROGRAMFILES(x86)%\Microsft Word |
%TEMP%\commonafoldersz |
%TEMP%\remcos |
%Userprofile%\remcos |
%WINDIR%\SysWOW64\Adobe Inc |
%WINDIR%\SysWOW64\remcos |
%WINDIR%\SysWOW64\skype |
%WINDIR%\System32\rel |
%WINDIR%\System32\remcos |
%WINDIR%\notepad++ |
%WINDIR%\remcos |