RemcosRAT

Karta e rezultateve të kërcënimit

Renditja: 4,425
Niveli i Kërcënimit: 80 % (Lartë)
Kompjuterët e infektuar: 26,563
Parë për herë të parë: October 16, 2016
Parë për herë të fundit: August 5, 2024
OS/OS të prekura: Windows

Remcos RAT (Remote Access Trojan) është një malware i sofistikuar i krijuar për të depërtuar dhe kontrolluar sistemet operative Windows. Zhvilluar dhe shitur nga një kompani gjermane e quajtur Breaking Security si një mjet legjitim i telekomandës dhe mbikëqyrjes, Remcos abuzohet shpesh nga kriminelët kibernetikë për qëllime keqdashëse. Ky artikull shqyrton karakteristikat, aftësitë, ndikimet dhe mbrojtjen që lidhen me Remcos RAT, si dhe incidentet e fundit të dukshme që përfshijnë vendosjen e tij.

Metodat e vendosjes dhe infektimit

Sulmet e phishing
Remcos zakonisht shpërndahet përmes sulmeve phishing, ku përdoruesit që nuk dyshojnë mashtrohen për të shkarkuar dhe ekzekutuar skedarë me qëllim të keq. Këto emaile phishing shpesh përmbajnë:

Skedarët keqdashës ZIP të maskuar si PDF, që pretendojnë se janë fatura ose porosi.
Dokumentet e Microsoft Office me makro të ngulitura me qëllim të keq, të krijuara për të vendosur programin keqdashës pas aktivizimit.

Teknikat e Evazionit
Për të shmangur zbulimin, Remcos përdor teknika të avancuara si:

  • Injektimi i procesit ose zbrazja e procesit : Kjo metodë lejon Remcos të ekzekutojë brenda një procesi legjitim, duke shmangur kështu zbulimin nga softueri antivirus.
  • Mekanizmat e qëndrueshmërisë : Pasi të instalohet, Remcos siguron që ai të mbetet aktiv duke përdorur mekanizma që e lejojnë atë të funksionojë në sfond, të fshehur nga përdoruesi.

Infrastruktura e komandës dhe kontrollit (C2).

Një aftësi thelbësore e Remcos është funksionaliteti i tij Command-and-Control (C2). Malware kodon trafikun e tij të komunikimit gjatë rrugës për në serverin C2, duke e bërë të vështirë për masat e sigurisë së rrjetit për të përgjuar dhe analizuar të dhënat. Remcos përdor DNS të shpërndarë (DDNS) për të krijuar domene të shumta për serverët e tij C2. Kjo teknikë ndihmon malware-in të shmangë mbrojtjen e sigurisë që mbështetet në filtrimin e trafikut në domene të njohura me qëllim të keq, duke rritur qëndrueshmërinë dhe qëndrueshmërinë e tij.

Aftësitë e Remcos RAT

Remcos RAT është një mjet i fuqishëm që ofron aftësi të shumta për sulmuesit, duke mundësuar kontroll dhe shfrytëzim të gjerë të sistemeve të infektuara:

Lartësia e privilegjit
Remcos mund të fitojë lejet e administratorit në një sistem të infektuar, duke e lejuar atë të:

  • Çaktivizo kontrollin e llogarisë së përdoruesit (UAC).
  • Ekzekutoni funksione të ndryshme me qëllim të keq me privilegje të ngritura.

Evazioni i Mbrojtjes
Duke përdorur injektimin e procesit, Remcos futet brenda proceseve legjitime, duke e bërë të vështirë zbulimin e softuerit antivirus. Për më tepër, aftësia e tij për të ekzekutuar në sfond fsheh më tej praninë e tij nga përdoruesit.

Mbledhja e të dhënave

Remcos është i aftë në mbledhjen e një game të gjerë të të dhënave nga sistemi i infektuar, duke përfshirë:

  • Goditjet e tasteve
  • Pamjet e ekranit
  • Regjistrimet audio
  • Përmbajtja e kujtesës së fragmenteve
  • Fjalëkalimet e ruajtura

Ndikimi i një infeksioni Remcos RAT

Pasojat e një infeksioni Remcos janë të rëndësishme dhe të shumëanshme, duke prekur si përdoruesit individualë ashtu edhe organizatat:

  • Marrja e llogarisë
    Duke regjistruar shtypjet e tasteve dhe vjedhjen e fjalëkalimeve, Remcos u mundëson sulmuesve të marrin përsipër llogaritë në internet dhe sisteme të tjera, duke çuar potencialisht në vjedhje të mëtejshme të të dhënave dhe akses të paautorizuar brenda rrjetit të një organizate.
  • Vjedhja e të dhënave
    Remcos është në gjendje të ekfiltrojë të dhëna të ndjeshme nga sistemi i infektuar. Kjo mund të rezultojë në shkelje të të dhënave, qoftë direkt nga kompjuteri i komprometuar ose nga sisteme të tjera të aksesuara duke përdorur kredencialet e vjedhura.
  • Infeksionet pasuese
    Një infeksion me Remcos mund të shërbejë si një portë për vendosjen e varianteve shtesë të malware. Kjo rrit rrezikun e sulmeve të mëvonshme, të tilla si infeksionet e ransomware, duke e përkeqësuar më tej dëmin.

Mbrojtje kundër Malware Remcos

Organizatat mund të miratojnë disa strategji dhe praktika më të mira për të mbrojtur kundër infeksioneve Remcos:

Skanimi i postës elektronike
Zbatimi i zgjidhjeve të skanimit të postës elektronike që identifikojnë dhe bllokojnë emailet e dyshimta mund të parandalojë dërgimin fillestar të Remcos në kutitë hyrëse të përdoruesve.

Analiza e Domenit
Monitorimi dhe analizimi i të dhënave të domenit të kërkuara nga pikat përfundimtare mund të ndihmojë në identifikimin dhe bllokimin e domeneve të rinj ose të dyshimtë që mund të lidhen me Remcos.

Analiza e trafikut në rrjet
Variantet e Remcos që enkriptojnë trafikun e tyre duke përdorur protokolle jo standarde mund të zbulohen përmes analizës së trafikut të rrjetit, i cili mund të raportojë modele të pazakonta trafiku për hetime të mëtejshme.

Siguria e pikës së fundit
Vendosja e zgjidhjeve të sigurisë së pikës fundore me aftësinë për të zbuluar dhe korrigjuar infeksionet Remcos është thelbësore. Këto zgjidhje mbështeten në treguesit e vendosur të kompromisit për të identifikuar dhe neutralizuar malware.

Shfrytëzimi i ndërprerjes së CrowdStrike

Në një incident të fundit, kriminelët kibernetikë shfrytëzuan një ndërprerje në mbarë botën të firmës së sigurisë kibernetike CrowdStrike për të shpërndarë Remcos RAT. Sulmuesit synuan klientët e CrowdStrike në Amerikën Latine duke shpërndarë një skedar arkivi ZIP të quajtur 'crowdstrike-hotfix.zip.' Ky skedar përmbante një ngarkues malware, Hijack Loader, i cili më pas nisi ngarkesën Remcos RAT.

Arkivi ZIP përfshinte një skedar teksti ('instrucciones.txt') me udhëzime në gjuhën spanjolle, duke i nxitur objektivat të ekzekutonin një skedar të ekzekutueshëm ('setup.exe') për t'u rikuperuar nga problemi. Përdorimi i emrave të skedarëve dhe udhëzimeve spanjolle tregon një fushatë të synuar për klientët e CrowdStrike me bazë në Amerikën Latine.

konkluzioni

Remcos RAT është një malware i fuqishëm dhe i gjithanshëm që paraqet një kërcënim të rëndësishëm për sistemet Windows. Aftësia e tij për të shmangur zbulimin, për të fituar privilegje të larta dhe për të mbledhur të dhëna të gjera e bën atë një mjet të favorizuar në mesin e kriminelëve kibernetikë. Duke kuptuar metodat, aftësitë dhe ndikimet e tij të vendosjes, organizatat mund të mbrohen më mirë kundër këtij softueri keqdashës. Zbatimi i masave të forta sigurie dhe qëndrimi vigjilent ndaj sulmeve të phishing janë hapa thelbësorë në zbutjen e rrezikut të paraqitur nga Remcos RAT.

SpyHunter zbulon dhe heq RemcosRAT

RemcosRAT Video

Këshillë: Kthejeni tingullin tuaj dhe të shikojnë video në mënyrë të plotë ekran.

Detajet e sistemit të skedarit

RemcosRAT mund të krijojë skedarët e mëposhtëm:
# Emri i skedarit MD5 Zbulimet
1. 7g1cq51137eqs.exe aeca465c269f3bd7b5f67bc9da8489cb 83
2. 321.exe d435cebd8266fa44111ece457a1bfba1 45
3. windslfj.exe 968650761a5d13c26197dbf26c56552a 5
4. file.exe 83dd9dacb72eaa793e982882809eb9d5 5
5. Legit Program.exe cd2c23deea7f1eb6b19a42fd3affb0ee 3
6. unseen.exe d8cff8ec41992f25ef3127e32e379e3b 2
7. file.exe 601ceb7114eefefd1579fae7b0236e66 1
8. file.exe c9923150d5c18e4932ed449c576f7942 1
9. file.exe 20dc88560b9e77f61c8a88f8bcf6571f 1
10. file.exe c41f7add0295861e60501373d87d586d 1
11. file.exe 8671446732d37b3ad4c120ca2b39cfca 0
12. File.exe 35b954d9a5435f369c59cd9d2515c931 0
13. file.exe 3e25268ff17b48da993b74549de379f4 0
14. file.exe b79dcc45b3d160bce8a462abb44e9490 0
15. file.exe 390ebb54156149b66b77316a8462e57d 0
16. e12cd6fe497b42212fa8c9c19bf51088 e12cd6fe497b42212fa8c9c19bf51088 0
17. file.exe 1d785c1c5d2a06d0e519d40db5b2390a 0
18. file.exe f48496b58f99bb6ec9bc35e5e8dc63b8 0
19. file.exe 5f50bcd2cad547c4e766bdd7992bc12a 0
20. file.exe 1645b2f23ece660689172547bd2fde53 0
21. 50a62912a3a282b1b11f78f23d0e5906 50a62912a3a282b1b11f78f23d0e5906 0

Detajet e Regjistrit

RemcosRAT mund të krijojë hyrjen e mëposhtme të regjistrit ose shënimet e regjistrit:
Regexp file mask
%APPDATA%\aitagent\aitagent.exe
%APPDATA%\Analysernes1.exe
%APPDATA%\Audiohd.exe
%APPDATA%\Bagsmks8.exe
%APPDATA%\Behandlingens[RANDOM CHARACTERS].exe
%APPDATA%\Brnevrelser[RANDOM CHARACTERS].exe
%appdata%\calc.exe
%APPDATA%\chrome\chrome.exe
%APPDATA%\deseret.pif
%APPDATA%\explorer\explore.exe
%APPDATA%\Extortioner.exe
%APPDATA%\firewall.exe
%APPDATA%\foc\foc.exe
%APPDATA%\Holmdel8.exe
%APPDATA%\Install\laeu.exe
%APPDATA%\Irenas.exe
%APPDATA%\Javaw\Javaw.exe
%APPDATA%\Machree[RANDOM CHARACTERS].exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\filename.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\firewall.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Holmdel8.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Legit Program.exe
%APPDATA%\Mozila\Mozila.exe
%APPDATA%\newremcos.exe
%APPDATA%\remcos.exe
%APPDATA%\SearchUI.exe
%APPDATA%\Smartse\smartse.exe
%AppData%\spoolsv.exe
%APPDATA%\System\logs.dat
%APPDATA%\Tornlst.exe
%APPDATA%\WindowsDefender\WindowsDefender.exe
%PROGRAMFILES%\AppData\drivers.exe
%TEMP%\Name of the melted file.exe
%WINDIR%\System32\remcomsvc.exe
%WINDIR%\SysWOW64\remcomsvc.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\remcos
SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\remcos

Drejtoritë

RemcosRAT mund të krijojë drejtorinë ose drejtoritë e mëposhtme:

%ALLUSERSPROFILE%\task manager
%APPDATA%\Badlion
%APPDATA%\Extress
%APPDATA%\GoogleChrome
%APPDATA%\JagexLIVE
%APPDATA%\Remc
%APPDATA%\Shockwave
%APPDATA%\appdata
%APPDATA%\googlecrome
%APPDATA%\hyerr
%APPDATA%\loader
%APPDATA%\pdf
%APPDATA%\remcoco
%APPDATA%\ujmcos
%APPDATA%\verify
%APPDATA%\windir
%AppData%\remcos
%PROGRAMFILES(x86)%\Microsft Word
%TEMP%\commonafoldersz
%TEMP%\remcos
%Userprofile%\remcos
%WINDIR%\SysWOW64\Adobe Inc
%WINDIR%\SysWOW64\remcos
%WINDIR%\SysWOW64\skype
%WINDIR%\System32\rel
%WINDIR%\System32\remcos
%WINDIR%\notepad++
%WINDIR%\remcos

Në trend

Më e shikuara

Po ngarkohet...