RemcosRAT

Banta ng Scorecard

Pagraranggo: 4,425
Antas ng Banta: 80 % (Mataas)
Mga Infected na Computer: 26,563
Unang Nakita: October 16, 2016
Huling nakita: August 5, 2024
Apektado ang (mga) OS: Windows

Ang Remcos RAT (Remote Access Trojan) ay isang sopistikadong malware na idinisenyo upang makalusot at kontrolin ang mga operating system ng Windows. Binuo at ibinenta ng isang kumpanyang German na pinangalanang Breaking Security bilang isang lehitimong remote control at tool sa pagsubaybay, ang Remcos ay madalas na inaabuso ng mga cybercriminal para sa mga malisyosong layunin. Tinutukoy ng artikulong ito ang mga katangian, kakayahan, epekto, at depensa na nauugnay sa Remcos RAT, pati na rin ang mga kamakailang kapansin-pansing insidente na kinasasangkutan ng pag-deploy nito.

Mga Paraan ng Deployment at Impeksyon

Mga Pag-atake sa Phishing
Ang Remcos ay karaniwang ipinamamahagi sa pamamagitan ng mga pag-atake ng phishing, kung saan ang mga hindi mapag-aalinlanganang user ay dinadaya sa pag-download at pag-execute ng mga malisyosong file. Ang mga phishing na email na ito ay kadalasang naglalaman ng:

Ang mga nakakahamak na ZIP file ay itinago bilang mga PDF, na sinasabing mga invoice o order.
Mga dokumento ng Microsoft Office na may mga naka-embed na malisyosong macro na idinisenyo upang i-deploy ang malware sa pag-activate.

Mga diskarte sa pag-iwas
Para makaiwas sa pagtuklas, gumagamit ang Remcos ng mga advanced na diskarte gaya ng:

  • Process Injection o Process Hollowing : Ang paraang ito ay nagbibigay-daan sa Remcos na isagawa sa loob ng isang lehitimong proseso, sa gayon ay maiiwasan ang pagtuklas ng antivirus software.
  • Mga Mekanismo ng Pagtitiyaga : Kapag na-install na, tinitiyak ng Remcos na mananatiling aktibo ito sa pamamagitan ng paggamit ng mga mekanismo na nagpapahintulot na tumakbo ito sa background, na nakatago mula sa user.

Imprastraktura ng Command-and-Control (C2).

Ang pangunahing kakayahan ng Remcos ay ang Command-and-Control (C2) functionality nito. Ini-encrypt ng malware ang trapiko ng komunikasyon nito patungo sa C2 server, na ginagawang mahirap para sa mga hakbang sa seguridad ng network na maharang at suriin ang data. Gumagamit ang Remcos ng Distributed DNS (DDNS) para gumawa ng maraming domain para sa mga C2 server nito. Tinutulungan ng diskarteng ito ang malware na iwasan ang mga proteksyon sa seguridad na umaasa sa pag-filter ng trapiko sa mga kilalang nakakahamak na domain, na nagpapahusay sa katatagan at pagtitiyaga nito.

Mga kakayahan ng Remcos RAT

Ang Remcos RAT ay isang makapangyarihang tool na nag-aalok ng maraming kakayahan sa mga umaatake, na nagbibigay-daan sa malawak na kontrol at pagsasamantala sa mga nahawaang system:

Pagtaas ng Pribilehiyo
Ang Remcos ay maaaring makakuha ng mga pahintulot ng Administrator sa isang nahawaang system, na nagpapahintulot dito na:

  • Huwag paganahin ang User Account Control (UAC).
  • Magsagawa ng iba't ibang malisyosong function na may mataas na mga pribilehiyo.

Pag-iwas sa Depensa
Sa pamamagitan ng paggamit ng proseso ng pag-iniksyon, inilalagay ng Remcos ang sarili nito sa loob ng mga lehitimong proseso, na ginagawa itong hamon para sa antivirus software na matukoy. Bukod pa rito, ang kakayahang tumakbo sa background ay higit pang nagtatago sa presensya nito mula sa mga user.

Pagkolekta ng data

Ang Remcos ay sanay sa pagkolekta ng malawak na hanay ng data mula sa nahawaang sistema, kabilang ang:

  • Mga keystroke
  • Mga screenshot
  • Mga pag-record ng audio
  • Mga nilalaman ng clipboard
  • Mga nakaimbak na password

Epekto ng Remcos RAT Infection

Ang mga kahihinatnan ng isang impeksyon sa Remcos ay makabuluhan at maraming aspeto, na nakakaapekto sa parehong mga indibidwal na user at organisasyon:

  • Pagkuha ng Account
    Sa pamamagitan ng pag-log ng mga keystroke at pagnanakaw ng mga password, binibigyang-daan ng Remcos ang mga umaatake na kunin ang mga online na account at iba pang mga system, na posibleng humantong sa higit pang pagnanakaw ng data at hindi awtorisadong pag-access sa loob ng network ng isang organisasyon.
  • Pagnanakaw ng Data
    Ang Remcos ay may kakayahang mag-exfiltrate ng sensitibong data mula sa nahawaang sistema. Maaari itong magresulta sa mga paglabag sa data, alinman nang direkta mula sa nakompromisong computer o mula sa iba pang mga system na na-access gamit ang mga ninakaw na kredensyal.
  • Follow-On Impeksyon
    Ang impeksyon sa Remcos ay maaaring magsilbing gateway para sa pag-deploy ng mga karagdagang variant ng malware. Pinatataas nito ang panganib ng mga kasunod na pag-atake, tulad ng mga impeksyon sa ransomware, na lalong nagpapalala sa pinsala.

Proteksyon Laban sa Remcos Malware

Maaaring gumamit ang mga organisasyon ng ilang diskarte at pinakamahuhusay na kagawian upang maprotektahan laban sa mga impeksyon sa Remcos:

Pag-scan ng Email
Ang pagpapatupad ng mga solusyon sa pag-scan ng email na tumutukoy at nagba-block ng mga kahina-hinalang email ay maaaring pigilan ang paunang paghahatid ng Remcos sa mga inbox ng mga user.

Pagsusuri ng Domain
Ang pagsubaybay at pagsusuri sa mga rekord ng domain na hiniling ng mga endpoint ay makakatulong na matukoy at ma-block ang mga bata o kahina-hinalang domain na maaaring nauugnay sa Remcos.

Pagsusuri ng Trapiko sa Network
Ang mga variant ng Remcos na nag-e-encrypt ng kanilang trapiko gamit ang mga hindi karaniwang protocol ay maaaring matukoy sa pamamagitan ng pagsusuri sa trapiko ng network, na maaaring mag-flag ng mga hindi pangkaraniwang pattern ng trapiko para sa karagdagang pagsisiyasat.

Seguridad ng Endpoint
Ang pag-deploy ng mga solusyon sa seguridad ng endpoint na may kakayahang tumukoy at mabawi ang mga impeksyon sa Remcos ay napakahalaga. Ang mga solusyong ito ay umaasa sa mga naitatag na tagapagpahiwatig ng kompromiso upang matukoy at ma-neutralize ang malware.

Pagsasamantala sa CrowdStrike Outage

Sa isang kamakailang insidente, pinagsamantalahan ng mga cybercriminal ang isang pandaigdigang pagkawala ng cybersecurity firm na CrowdStrike upang ipamahagi ang Remcos RAT. Tinarget ng mga umaatake ang mga customer ng CrowdStrike sa Latin America sa pamamagitan ng pamamahagi ng ZIP archive file na pinangalanang 'crowdstrike-hotfix.zip.' Ang file na ito ay naglalaman ng malware loader, Hijack Loader, na kasunod na inilunsad ang Remcos RAT payload.

Ang ZIP archive ay may kasamang text file ('instrucciones.txt') na may mga tagubilin sa wikang Espanyol, na humihimok sa mga target na magpatakbo ng isang executable file ('setup.exe') para diumano'y makabawi mula sa isyu. Ang paggamit ng mga Spanish filename at mga tagubilin ay nagpapahiwatig ng isang naka-target na kampanya na naglalayong sa mga customer ng CrowdStrike na nakabase sa Latin America.

Konklusyon

Ang Remcos RAT ay isang makapangyarihan at maraming nalalaman na malware na nagdudulot ng malaking banta sa mga Windows system. Ang kakayahan nitong umiwas sa pagtuklas, makakuha ng matataas na pribilehiyo, at mangolekta ng malawak na data ay ginagawa itong isang pinapaboran na tool sa mga cybercriminal. Sa pamamagitan ng pag-unawa sa mga paraan ng pag-deploy, kakayahan, at epekto nito, mas makakapagtanggol ang mga organisasyon laban sa malisyosong software na ito. Ang pagpapatupad ng matatag na mga hakbang sa seguridad at pananatiling mapagbantay laban sa mga pag-atake ng phishing ay mga mahahalagang hakbang sa pagpapagaan sa panganib na dulot ng Remcos RAT.

Nakikita at Tinatanggal ng SpyHunter ang RemcosRAT

RemcosRAT Video

Tip: I- ON ang iyong tunog at panoorin ang video sa Full Screen mode .

Mga Detalye ng File System

RemcosRAT ay maaaring lumikha ng sumusunod na (mga) file:
# Pangalan ng File MD5 Mga pagtuklas
1. 7g1cq51137eqs.exe aeca465c269f3bd7b5f67bc9da8489cb 83
2. 321.exe d435cebd8266fa44111ece457a1bfba1 45
3. windslfj.exe 968650761a5d13c26197dbf26c56552a 5
4. file.exe 83dd9dacb72eaa793e982882809eb9d5 5
5. Legit Program.exe cd2c23deea7f1eb6b19a42fd3affb0ee 3
6. unseen.exe d8cff8ec41992f25ef3127e32e379e3b 2
7. file.exe 601ceb7114eefefd1579fae7b0236e66 1
8. file.exe c9923150d5c18e4932ed449c576f7942 1
9. file.exe 20dc88560b9e77f61c8a88f8bcf6571f 1
10. file.exe c41f7add0295861e60501373d87d586d 1
11. file.exe 8671446732d37b3ad4c120ca2b39cfca 0
12. File.exe 35b954d9a5435f369c59cd9d2515c931 0
13. file.exe 3e25268ff17b48da993b74549de379f4 0
14. file.exe b79dcc45b3d160bce8a462abb44e9490 0
15. file.exe 390ebb54156149b66b77316a8462e57d 0
16. e12cd6fe497b42212fa8c9c19bf51088 e12cd6fe497b42212fa8c9c19bf51088 0
17. file.exe 1d785c1c5d2a06d0e519d40db5b2390a 0
18. file.exe f48496b58f99bb6ec9bc35e5e8dc63b8 0
19. file.exe 5f50bcd2cad547c4e766bdd7992bc12a 0
20. file.exe 1645b2f23ece660689172547bd2fde53 0
21. 50a62912a3a282b1b11f78f23d0e5906 50a62912a3a282b1b11f78f23d0e5906 0

Mga Detalye ng Rehistro

Maaaring lumikha ang RemcosRAT ng sumusunod na registry entry o registry entries:
Regexp file mask
%APPDATA%\aitagent\aitagent.exe
%APPDATA%\Analysernes1.exe
%APPDATA%\Audiohd.exe
%APPDATA%\Bagsmks8.exe
%APPDATA%\Behandlingens[RANDOM CHARACTERS].exe
%APPDATA%\Brnevrelser[RANDOM CHARACTERS].exe
%appdata%\calc.exe
%APPDATA%\chrome\chrome.exe
%APPDATA%\deseret.pif
%APPDATA%\explorer\explore.exe
%APPDATA%\Extortioner.exe
%APPDATA%\firewall.exe
%APPDATA%\foc\foc.exe
%APPDATA%\Holmdel8.exe
%APPDATA%\Install\laeu.exe
%APPDATA%\Irenas.exe
%APPDATA%\Javaw\Javaw.exe
%APPDATA%\Machree[RANDOM CHARACTERS].exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\filename.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\firewall.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Holmdel8.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Legit Program.exe
%APPDATA%\Mozila\Mozila.exe
%APPDATA%\newremcos.exe
%APPDATA%\remcos.exe
%APPDATA%\SearchUI.exe
%APPDATA%\Smartse\smartse.exe
%AppData%\spoolsv.exe
%APPDATA%\System\logs.dat
%APPDATA%\Tornlst.exe
%APPDATA%\WindowsDefender\WindowsDefender.exe
%PROGRAMFILES%\AppData\drivers.exe
%TEMP%\Name of the melted file.exe
%WINDIR%\System32\remcomsvc.exe
%WINDIR%\SysWOW64\remcomsvc.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\remcos
SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\remcos

Mga direktoryo

Maaaring lumikha ang RemcosRAT ng sumusunod na direktoryo o mga direktoryo:

%ALLUSERSPROFILE%\task manager
%APPDATA%\Badlion
%APPDATA%\Extress
%APPDATA%\GoogleChrome
%APPDATA%\JagexLIVE
%APPDATA%\Remc
%APPDATA%\Shockwave
%APPDATA%\appdata
%APPDATA%\googlecrome
%APPDATA%\hyerr
%APPDATA%\loader
%APPDATA%\pdf
%APPDATA%\remcoco
%APPDATA%\ujmcos
%APPDATA%\verify
%APPDATA%\windir
%AppData%\remcos
%PROGRAMFILES(x86)%\Microsft Word
%TEMP%\commonafoldersz
%TEMP%\remcos
%Userprofile%\remcos
%WINDIR%\SysWOW64\Adobe Inc
%WINDIR%\SysWOW64\remcos
%WINDIR%\SysWOW64\skype
%WINDIR%\System32\rel
%WINDIR%\System32\remcos
%WINDIR%\notepad++
%WINDIR%\remcos

Trending

Pinaka Nanood

Naglo-load...