RemcosRAT
Karta e rezultateve të kërcënimit
EnigmaSoft Threat Scorecard
Kartat e rezultateve të kërcënimit EnigmaSoft janë raporte vlerësimi për kërcënime të ndryshme malware, të cilat janë mbledhur dhe analizuar nga ekipi ynë i kërkimit. Kartat e rezultateve të EnigmaSoft Threat vlerësojnë dhe renditin kërcënimet duke përdorur disa metrika, duke përfshirë faktorët e rrezikut të botës reale dhe të mundshme, tendencat, shpeshtësinë, prevalencën dhe qëndrueshmërinë. Kartat e rezultateve të EnigmaSoft Threat përditësohen rregullisht bazuar në të dhënat dhe metrikat tona të kërkimit dhe janë të dobishme për një gamë të gjerë përdoruesish kompjuterësh, nga përdoruesit fundorë që kërkojnë zgjidhje për të hequr malware nga sistemet e tyre deri tek ekspertët e sigurisë që analizojnë kërcënimet.
Kartat e rezultateve të EnigmaSoft Threat shfaqin një sërë informacionesh të dobishme, duke përfshirë:
Renditja: Renditja e një kërcënimi të veçantë në bazën e të dhënave të kërcënimeve të EnigmaSoft.
Niveli i ashpërsisë: Niveli i përcaktuar i ashpërsisë së një objekti, i përfaqësuar numerikisht, bazuar në procesin dhe kërkimin tonë të modelimit të rrezikut, siç shpjegohet në Kriteret tona të Vlerësimit të Kërcënimit .
Kompjuterët e infektuar: Numri i rasteve të konfirmuara dhe të dyshuara të një kërcënimi të veçantë të zbuluar në kompjuterët e infektuar siç raportohet nga SpyHunter.
Shihni gjithashtu Kriteret e Vlerësimit të Kërcënimit .
Renditja: | 4,425 |
Niveli i Kërcënimit: | 80 % (Lartë) |
Kompjuterët e infektuar: | 26,563 |
Parë për herë të parë: | October 16, 2016 |
Parë për herë të fundit: | August 5, 2024 |
OS/OS të prekura: | Windows |
Remcos RAT (Remote Access Trojan) është një malware i sofistikuar i krijuar për të depërtuar dhe kontrolluar sistemet operative Windows. Zhvilluar dhe shitur nga një kompani gjermane e quajtur Breaking Security si një mjet legjitim i telekomandës dhe mbikëqyrjes, Remcos abuzohet shpesh nga kriminelët kibernetikë për qëllime keqdashëse. Ky artikull shqyrton karakteristikat, aftësitë, ndikimet dhe mbrojtjen që lidhen me Remcos RAT, si dhe incidentet e fundit të dukshme që përfshijnë vendosjen e tij.
Tabela e Përmbajtjes
Metodat e vendosjes dhe infektimit
Sulmet e phishing
Remcos zakonisht shpërndahet përmes sulmeve phishing, ku përdoruesit që nuk dyshojnë mashtrohen për të shkarkuar dhe ekzekutuar skedarë me qëllim të keq. Këto emaile phishing shpesh përmbajnë:
Skedarët keqdashës ZIP të maskuar si PDF, që pretendojnë se janë fatura ose porosi.
Dokumentet e Microsoft Office me makro të ngulitura me qëllim të keq, të krijuara për të vendosur programin keqdashës pas aktivizimit.
Teknikat e Evazionit
Për të shmangur zbulimin, Remcos përdor teknika të avancuara si:
- Injektimi i procesit ose zbrazja e procesit : Kjo metodë lejon Remcos të ekzekutojë brenda një procesi legjitim, duke shmangur kështu zbulimin nga softueri antivirus.
- Mekanizmat e qëndrueshmërisë : Pasi të instalohet, Remcos siguron që ai të mbetet aktiv duke përdorur mekanizma që e lejojnë atë të funksionojë në sfond, të fshehur nga përdoruesi.
Infrastruktura e komandës dhe kontrollit (C2).
Një aftësi thelbësore e Remcos është funksionaliteti i tij Command-and-Control (C2). Malware kodon trafikun e tij të komunikimit gjatë rrugës për në serverin C2, duke e bërë të vështirë për masat e sigurisë së rrjetit për të përgjuar dhe analizuar të dhënat. Remcos përdor DNS të shpërndarë (DDNS) për të krijuar domene të shumta për serverët e tij C2. Kjo teknikë ndihmon malware-in të shmangë mbrojtjen e sigurisë që mbështetet në filtrimin e trafikut në domene të njohura me qëllim të keq, duke rritur qëndrueshmërinë dhe qëndrueshmërinë e tij.
Aftësitë e Remcos RAT
Remcos RAT është një mjet i fuqishëm që ofron aftësi të shumta për sulmuesit, duke mundësuar kontroll dhe shfrytëzim të gjerë të sistemeve të infektuara:
Lartësia e privilegjit
Remcos mund të fitojë lejet e administratorit në një sistem të infektuar, duke e lejuar atë të:
- Çaktivizo kontrollin e llogarisë së përdoruesit (UAC).
- Ekzekutoni funksione të ndryshme me qëllim të keq me privilegje të ngritura.
Evazioni i Mbrojtjes
Duke përdorur injektimin e procesit, Remcos futet brenda proceseve legjitime, duke e bërë të vështirë zbulimin e softuerit antivirus. Për më tepër, aftësia e tij për të ekzekutuar në sfond fsheh më tej praninë e tij nga përdoruesit.
Mbledhja e të dhënave
Remcos është i aftë në mbledhjen e një game të gjerë të të dhënave nga sistemi i infektuar, duke përfshirë:
- Goditjet e tasteve
- Pamjet e ekranit
- Regjistrimet audio
- Përmbajtja e kujtesës së fragmenteve
- Fjalëkalimet e ruajtura
Ndikimi i një infeksioni Remcos RAT
Pasojat e një infeksioni Remcos janë të rëndësishme dhe të shumëanshme, duke prekur si përdoruesit individualë ashtu edhe organizatat:
- Marrja e llogarisë
Duke regjistruar shtypjet e tasteve dhe vjedhjen e fjalëkalimeve, Remcos u mundëson sulmuesve të marrin përsipër llogaritë në internet dhe sisteme të tjera, duke çuar potencialisht në vjedhje të mëtejshme të të dhënave dhe akses të paautorizuar brenda rrjetit të një organizate. - Vjedhja e të dhënave
Remcos është në gjendje të ekfiltrojë të dhëna të ndjeshme nga sistemi i infektuar. Kjo mund të rezultojë në shkelje të të dhënave, qoftë direkt nga kompjuteri i komprometuar ose nga sisteme të tjera të aksesuara duke përdorur kredencialet e vjedhura. - Infeksionet pasuese
Një infeksion me Remcos mund të shërbejë si një portë për vendosjen e varianteve shtesë të malware. Kjo rrit rrezikun e sulmeve të mëvonshme, të tilla si infeksionet e ransomware, duke e përkeqësuar më tej dëmin.
Mbrojtje kundër Malware Remcos
Organizatat mund të miratojnë disa strategji dhe praktika më të mira për të mbrojtur kundër infeksioneve Remcos:
Skanimi i postës elektronike
Zbatimi i zgjidhjeve të skanimit të postës elektronike që identifikojnë dhe bllokojnë emailet e dyshimta mund të parandalojë dërgimin fillestar të Remcos në kutitë hyrëse të përdoruesve.
Analiza e Domenit
Monitorimi dhe analizimi i të dhënave të domenit të kërkuara nga pikat përfundimtare mund të ndihmojë në identifikimin dhe bllokimin e domeneve të rinj ose të dyshimtë që mund të lidhen me Remcos.
Analiza e trafikut në rrjet
Variantet e Remcos që enkriptojnë trafikun e tyre duke përdorur protokolle jo standarde mund të zbulohen përmes analizës së trafikut të rrjetit, i cili mund të raportojë modele të pazakonta trafiku për hetime të mëtejshme.
Siguria e pikës së fundit
Vendosja e zgjidhjeve të sigurisë së pikës fundore me aftësinë për të zbuluar dhe korrigjuar infeksionet Remcos është thelbësore. Këto zgjidhje mbështeten në treguesit e vendosur të kompromisit për të identifikuar dhe neutralizuar malware.
Shfrytëzimi i ndërprerjes së CrowdStrike
Në një incident të fundit, kriminelët kibernetikë shfrytëzuan një ndërprerje në mbarë botën të firmës së sigurisë kibernetike CrowdStrike për të shpërndarë Remcos RAT. Sulmuesit synuan klientët e CrowdStrike në Amerikën Latine duke shpërndarë një skedar arkivi ZIP të quajtur 'crowdstrike-hotfix.zip.' Ky skedar përmbante një ngarkues malware, Hijack Loader, i cili më pas nisi ngarkesën Remcos RAT.
Arkivi ZIP përfshinte një skedar teksti ('instrucciones.txt') me udhëzime në gjuhën spanjolle, duke i nxitur objektivat të ekzekutonin një skedar të ekzekutueshëm ('setup.exe') për t'u rikuperuar nga problemi. Përdorimi i emrave të skedarëve dhe udhëzimeve spanjolle tregon një fushatë të synuar për klientët e CrowdStrike me bazë në Amerikën Latine.
konkluzioni
Remcos RAT është një malware i fuqishëm dhe i gjithanshëm që paraqet një kërcënim të rëndësishëm për sistemet Windows. Aftësia e tij për të shmangur zbulimin, për të fituar privilegje të larta dhe për të mbledhur të dhëna të gjera e bën atë një mjet të favorizuar në mesin e kriminelëve kibernetikë. Duke kuptuar metodat, aftësitë dhe ndikimet e tij të vendosjes, organizatat mund të mbrohen më mirë kundër këtij softueri keqdashës. Zbatimi i masave të forta sigurie dhe qëndrimi vigjilent ndaj sulmeve të phishing janë hapa thelbësorë në zbutjen e rrezikut të paraqitur nga Remcos RAT.
SpyHunter zbulon dhe heq RemcosRAT
RemcosRAT Video
Këshillë: Kthejeni tingullin tuaj dhe të shikojnë video në mënyrë të plotë ekran.
Detajet e sistemit të skedarit
# | Emri i skedarit | MD5 |
Zbulimet
Zbulimet: Numri i rasteve të konfirmuara dhe të dyshuara të një kërcënimi të veçantë të zbuluar në kompjuterë të infektuar siç raportohet nga SpyHunter.
|
---|---|---|---|
1. | 7g1cq51137eqs.exe | aeca465c269f3bd7b5f67bc9da8489cb | 83 |
2. | 321.exe | d435cebd8266fa44111ece457a1bfba1 | 45 |
3. | windslfj.exe | 968650761a5d13c26197dbf26c56552a | 5 |
4. | file.exe | 83dd9dacb72eaa793e982882809eb9d5 | 5 |
5. | Legit Program.exe | cd2c23deea7f1eb6b19a42fd3affb0ee | 3 |
6. | unseen.exe | d8cff8ec41992f25ef3127e32e379e3b | 2 |
7. | file.exe | 601ceb7114eefefd1579fae7b0236e66 | 1 |
8. | file.exe | c9923150d5c18e4932ed449c576f7942 | 1 |
9. | file.exe | 20dc88560b9e77f61c8a88f8bcf6571f | 1 |
10. | file.exe | c41f7add0295861e60501373d87d586d | 1 |
11. | file.exe | 8671446732d37b3ad4c120ca2b39cfca | 0 |
12. | File.exe | 35b954d9a5435f369c59cd9d2515c931 | 0 |
13. | file.exe | 3e25268ff17b48da993b74549de379f4 | 0 |
14. | file.exe | b79dcc45b3d160bce8a462abb44e9490 | 0 |
15. | file.exe | 390ebb54156149b66b77316a8462e57d | 0 |
16. | e12cd6fe497b42212fa8c9c19bf51088 | e12cd6fe497b42212fa8c9c19bf51088 | 0 |
17. | file.exe | 1d785c1c5d2a06d0e519d40db5b2390a | 0 |
18. | file.exe | f48496b58f99bb6ec9bc35e5e8dc63b8 | 0 |
19. | file.exe | 5f50bcd2cad547c4e766bdd7992bc12a | 0 |
20. | file.exe | 1645b2f23ece660689172547bd2fde53 | 0 |
21. | 50a62912a3a282b1b11f78f23d0e5906 | 50a62912a3a282b1b11f78f23d0e5906 | 0 |
Detajet e Regjistrit
Drejtoritë
RemcosRAT mund të krijojë drejtorinë ose drejtoritë e mëposhtme:
%ALLUSERSPROFILE%\task manager |
%APPDATA%\Badlion |
%APPDATA%\Extress |
%APPDATA%\GoogleChrome |
%APPDATA%\JagexLIVE |
%APPDATA%\Remc |
%APPDATA%\Shockwave |
%APPDATA%\appdata |
%APPDATA%\googlecrome |
%APPDATA%\hyerr |
%APPDATA%\loader |
%APPDATA%\pdf |
%APPDATA%\remcoco |
%APPDATA%\ujmcos |
%APPDATA%\verify |
%APPDATA%\windir |
%AppData%\remcos |
%PROGRAMFILES(x86)%\Microsft Word |
%TEMP%\commonafoldersz |
%TEMP%\remcos |
%Userprofile%\remcos |
%WINDIR%\SysWOW64\Adobe Inc |
%WINDIR%\SysWOW64\remcos |
%WINDIR%\SysWOW64\skype |
%WINDIR%\System32\rel |
%WINDIR%\System32\remcos |
%WINDIR%\notepad++ |
%WINDIR%\remcos |