Hotdatabas Trojans RemcosRAT

RemcosRAT

Scorekort för hot

Rankning: 4,425
Hotnivå: 80 % (Hög)
Infekterade datorer: 26,563
Först sett: October 16, 2016
Senast sedd: August 5, 2024
Operativsystem som påverkas: Windows

Remcos RAT (Remote Access Trojan) är en sofistikerad skadlig programvara designad för att infiltrera och kontrollera Windows-operativsystem. Utvecklat och sålt av ett tyskt företag vid namn Breaking Security som ett legitimt fjärrkontroll- och övervakningsverktyg, missbrukas Remcos ofta av cyberbrottslingar i skadliga syften. Den här artikeln fördjupar sig i egenskaperna, kapaciteten, effekterna och försvaret relaterade till Remcos RAT, såväl som nyliga anmärkningsvärda incidenter som involverar dess utplacering.

Installation och infektionsmetoder

Nätfiskeattacker
Remcos distribueras vanligtvis genom nätfiskeattacker, där intet ont anande användare luras att ladda ner och köra skadliga filer. Dessa nätfiskemeddelanden innehåller ofta:

Skadliga ZIP-filer förklädda som PDF-filer, som påstår sig vara fakturor eller beställningar.
Microsoft Office-dokument med inbäddade skadliga makron utformade för att distribuera skadlig programvara vid aktivering.

Undvikande tekniker
För att undvika upptäckt använder Remcos avancerade tekniker som:

  • Processinjektion eller processhålning : Denna metod tillåter Remcos att köra inom en legitim process, och därigenom undvika upptäckt av antivirusprogram.
  • Beständighetsmekanismer : När det väl har installerats, säkerställer Remcos att det förblir aktivt genom att använda mekanismer som gör att det kan köras i bakgrunden, dold för användaren.

Kommando-och-kontroll (C2) Infrastruktur

En kärnfunktion hos Remcos är dess Command-and-Control-funktionalitet (C2). Skadlig programvara krypterar sin kommunikationstrafik på väg till C2-servern, vilket gör det svårt för nätverkssäkerhetsåtgärder att fånga upp och analysera data. Remcos använder distribuerad DNS (DDNS) för att skapa flera domäner för sina C2-servrar. Den här tekniken hjälper skadlig programvara att undvika säkerhetsskydd som är beroende av att filtrera trafik till kända skadliga domäner, vilket förbättrar dess motståndskraft och uthållighet.

Funktioner hos Remcos RAT

Remcos RAT är ett kraftfullt verktyg som erbjuder många möjligheter till angripare, vilket möjliggör omfattande kontroll och exploatering av infekterade system:

Privilegium höjd
Remcos kan få administratörsbehörigheter på ett infekterat system, vilket gör att det kan:

  • Inaktivera användarkontokontroll (UAC).
  • Utför olika skadliga funktioner med förhöjda privilegier.

Försvarsflykt
Genom att använda processinjektion bäddar Remcos in sig i legitima processer, vilket gör det utmanande för antivirusprogram att upptäcka. Dessutom döljer dess förmåga att köra i bakgrunden sin närvaro ytterligare för användarna.

Datainsamling

Remcos är skicklig på att samla in ett brett utbud av data från det infekterade systemet, inklusive:

  • Tangenttryckningar
  • Skärmdumpar
  • Ljudinspelningar
  • Urklipp innehåll
  • Lagrade lösenord

Effekten av en Remcos RAT-infektion

Konsekvenserna av en Remcos-infektion är betydande och mångfacetterade och påverkar både enskilda användare och organisationer:

  • Kontoövertagande
    Genom att logga tangenttryckningar och stjäla lösenord gör Remcos det möjligt för angripare att ta över onlinekonton och andra system, vilket kan leda till ytterligare datastöld och obehörig åtkomst inom en organisations nätverk.
  • Datastöld
    Remcos kan exfiltrera känslig data från det infekterade systemet. Detta kan resultera i dataintrång, antingen direkt från den komprometterade datorn eller från andra system som nås med stulna referenser.
  • Uppföljande infektioner
    En infektion med Remcos kan fungera som en gateway för att distribuera ytterligare malware-varianter. Detta ökar risken för efterföljande attacker, såsom ransomware-infektioner, vilket ytterligare förvärrar skadan.

Skydd mot Remcos skadlig programvara

Organisationer kan anta flera strategier och bästa praxis för att skydda mot Remcos-infektioner:

E-postskanning
Implementering av e-postskanningslösningar som identifierar och blockerar misstänkta e-postmeddelanden kan förhindra den första leveransen av Remcos till användarnas inkorgar.

Domänanalys
Övervakning och analys av domänposter som begärs av endpoints kan hjälpa till att identifiera och blockera unga eller misstänkta domäner som kan vara associerade med Remcos.

Nätverkstrafikanalys
Remcos-varianter som krypterar sin trafik med icke-standardiserade protokoll kan upptäckas genom nätverkstrafikanalys, vilket kan flagga ovanliga trafikmönster för vidare undersökning.

Endpoint Security
Att distribuera slutpunktssäkerhetslösningar med förmågan att upptäcka och åtgärda Remcos-infektioner är avgörande. Dessa lösningar förlitar sig på etablerade indikatorer på kompromiss för att identifiera och neutralisera skadlig programvara.

Utnyttjande av CrowdStrike-avbrott

I en nyligen inträffad incident utnyttjade cyberkriminella ett världsomspännande avbrott hos cybersäkerhetsföretaget CrowdStrike för att distribuera Remcos RAT. Angriparna riktade sig mot CrowdStrike-kunder i Latinamerika genom att distribuera en ZIP-arkivfil med namnet 'crowdstrike-hotfix.zip.' Den här filen innehöll en skadlig programvara, Hijack Loader, som sedan lanserade Remcos RAT-nyttolasten.

ZIP-arkivet inkluderade en textfil ('instrucciones.txt') med spanskspråkiga instruktioner, som uppmanade mål att köra en körbar fil ('setup.exe') för att påstås återhämta sig från problemet. Användningen av spanska filnamn och instruktioner indikerar en riktad kampanj riktad mot Latinamerika-baserade CrowdStrike-kunder.

Slutsats

Remcos RAT är en potent och mångsidig skadlig programvara som utgör ett betydande hot mot Windows-system. Dess förmåga att undvika upptäckt, få förhöjda privilegier och samla in omfattande data gör det till ett favoritverktyg bland cyberbrottslingar. Genom att förstå dess implementeringsmetoder, möjligheter och effekter kan organisationer bättre försvara sig mot denna skadliga programvara. Att implementera robusta säkerhetsåtgärder och vara vaksam mot nätfiskeattacker är avgörande steg för att minska risken som Remcos RAT utgör.

SpyHunter upptäcker och tar bort RemcosRAT

RemcosRAT Video

Tips: Slå ljudet och titta på videon i helskärmsläge .

Filsysteminformation

RemcosRAT kan skapa följande fil(er):
# Filnamn MD5 Detektioner
1. 7g1cq51137eqs.exe aeca465c269f3bd7b5f67bc9da8489cb 83
2. 321.exe d435cebd8266fa44111ece457a1bfba1 45
3. windslfj.exe 968650761a5d13c26197dbf26c56552a 5
4. file.exe 83dd9dacb72eaa793e982882809eb9d5 5
5. Legit Program.exe cd2c23deea7f1eb6b19a42fd3affb0ee 3
6. unseen.exe d8cff8ec41992f25ef3127e32e379e3b 2
7. file.exe 601ceb7114eefefd1579fae7b0236e66 1
8. file.exe c9923150d5c18e4932ed449c576f7942 1
9. file.exe 20dc88560b9e77f61c8a88f8bcf6571f 1
10. file.exe c41f7add0295861e60501373d87d586d 1
11. file.exe 8671446732d37b3ad4c120ca2b39cfca 0
12. File.exe 35b954d9a5435f369c59cd9d2515c931 0
13. file.exe 3e25268ff17b48da993b74549de379f4 0
14. file.exe b79dcc45b3d160bce8a462abb44e9490 0
15. file.exe 390ebb54156149b66b77316a8462e57d 0
16. e12cd6fe497b42212fa8c9c19bf51088 e12cd6fe497b42212fa8c9c19bf51088 0
17. file.exe 1d785c1c5d2a06d0e519d40db5b2390a 0
18. file.exe f48496b58f99bb6ec9bc35e5e8dc63b8 0
19. file.exe 5f50bcd2cad547c4e766bdd7992bc12a 0
20. file.exe 1645b2f23ece660689172547bd2fde53 0
21. 50a62912a3a282b1b11f78f23d0e5906 50a62912a3a282b1b11f78f23d0e5906 0

Registerinformation

RemcosRAT kan skapa följande registerpost eller registerposter:
Regexp file mask
%APPDATA%\aitagent\aitagent.exe
%APPDATA%\Analysernes1.exe
%APPDATA%\Audiohd.exe
%APPDATA%\Bagsmks8.exe
%APPDATA%\Behandlingens[RANDOM CHARACTERS].exe
%APPDATA%\Brnevrelser[RANDOM CHARACTERS].exe
%appdata%\calc.exe
%APPDATA%\chrome\chrome.exe
%APPDATA%\deseret.pif
%APPDATA%\explorer\explore.exe
%APPDATA%\Extortioner.exe
%APPDATA%\firewall.exe
%APPDATA%\foc\foc.exe
%APPDATA%\Holmdel8.exe
%APPDATA%\Install\laeu.exe
%APPDATA%\Irenas.exe
%APPDATA%\Javaw\Javaw.exe
%APPDATA%\Machree[RANDOM CHARACTERS].exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\filename.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\firewall.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Holmdel8.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Legit Program.exe
%APPDATA%\Mozila\Mozila.exe
%APPDATA%\newremcos.exe
%APPDATA%\remcos.exe
%APPDATA%\SearchUI.exe
%APPDATA%\Smartse\smartse.exe
%AppData%\spoolsv.exe
%APPDATA%\System\logs.dat
%APPDATA%\Tornlst.exe
%APPDATA%\WindowsDefender\WindowsDefender.exe
%PROGRAMFILES%\AppData\drivers.exe
%TEMP%\Name of the melted file.exe
%WINDIR%\System32\remcomsvc.exe
%WINDIR%\SysWOW64\remcomsvc.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\remcos
SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\remcos

Kataloger

RemcosRAT kan skapa följande katalog eller kataloger:

%ALLUSERSPROFILE%\task manager
%APPDATA%\Badlion
%APPDATA%\Extress
%APPDATA%\GoogleChrome
%APPDATA%\JagexLIVE
%APPDATA%\Remc
%APPDATA%\Shockwave
%APPDATA%\appdata
%APPDATA%\googlecrome
%APPDATA%\hyerr
%APPDATA%\loader
%APPDATA%\pdf
%APPDATA%\remcoco
%APPDATA%\ujmcos
%APPDATA%\verify
%APPDATA%\windir
%AppData%\remcos
%PROGRAMFILES(x86)%\Microsft Word
%TEMP%\commonafoldersz
%TEMP%\remcos
%Userprofile%\remcos
%WINDIR%\SysWOW64\Adobe Inc
%WINDIR%\SysWOW64\remcos
%WINDIR%\SysWOW64\skype
%WINDIR%\System32\rel
%WINDIR%\System32\remcos
%WINDIR%\notepad++
%WINDIR%\remcos

Trendigt

Mest sedda

Läser in...