RemcosRAT
Banta ng Scorecard
EnigmaSoft Threat Scorecard
Ang EnigmaSoft Threat Scorecards ay mga ulat sa pagtatasa para sa iba't ibang banta ng malware na nakolekta at nasuri ng aming research team. Ang EnigmaSoft Threat Scorecards ay sinusuri at niraranggo ang mga banta gamit ang ilang sukatan kabilang ang totoong mundo at potensyal na mga kadahilanan ng panganib, mga uso, dalas, pagkalat, at pagtitiyaga. Regular na ina-update ang EnigmaSoft Threat Scorecards batay sa aming data at sukatan ng pananaliksik at kapaki-pakinabang para sa malawak na hanay ng mga user ng computer, mula sa mga end user na naghahanap ng mga solusyon upang alisin ang malware sa kanilang mga system hanggang sa mga eksperto sa seguridad na nagsusuri ng mga banta.
Ang EnigmaSoft Threat Scorecards ay nagpapakita ng iba't ibang kapaki-pakinabang na impormasyon, kabilang ang:
Ranking: Ang pagraranggo ng isang partikular na banta sa Threat Database ng EnigmaSoft.
Antas ng Kalubhaan: Ang tinutukoy na antas ng kalubhaan ng isang bagay, na kinakatawan ayon sa numero, batay sa aming proseso sa pagmomodelo ng panganib at pananaliksik, gaya ng ipinaliwanag sa aming Pamantayan sa Pagtatasa ng Banta .
Mga Infected na Computer: Ang bilang ng mga nakumpirma at pinaghihinalaang kaso ng isang partikular na banta na nakita sa mga infected na computer gaya ng iniulat ng SpyHunter.
Tingnan din ang Pamantayan sa Pagtatasa ng Banta .
Pagraranggo: | 4,425 |
Antas ng Banta: | 80 % (Mataas) |
Mga Infected na Computer: | 26,563 |
Unang Nakita: | October 16, 2016 |
Huling nakita: | August 5, 2024 |
Apektado ang (mga) OS: | Windows |
Ang Remcos RAT (Remote Access Trojan) ay isang sopistikadong malware na idinisenyo upang makalusot at kontrolin ang mga operating system ng Windows. Binuo at ibinenta ng isang kumpanyang German na pinangalanang Breaking Security bilang isang lehitimong remote control at tool sa pagsubaybay, ang Remcos ay madalas na inaabuso ng mga cybercriminal para sa mga malisyosong layunin. Tinutukoy ng artikulong ito ang mga katangian, kakayahan, epekto, at depensa na nauugnay sa Remcos RAT, pati na rin ang mga kamakailang kapansin-pansing insidente na kinasasangkutan ng pag-deploy nito.
Talaan ng mga Nilalaman
Mga Paraan ng Deployment at Impeksyon
Mga Pag-atake sa Phishing
Ang Remcos ay karaniwang ipinamamahagi sa pamamagitan ng mga pag-atake ng phishing, kung saan ang mga hindi mapag-aalinlanganang user ay dinadaya sa pag-download at pag-execute ng mga malisyosong file. Ang mga phishing na email na ito ay kadalasang naglalaman ng:
Ang mga nakakahamak na ZIP file ay itinago bilang mga PDF, na sinasabing mga invoice o order.
Mga dokumento ng Microsoft Office na may mga naka-embed na malisyosong macro na idinisenyo upang i-deploy ang malware sa pag-activate.
Mga diskarte sa pag-iwas
Para makaiwas sa pagtuklas, gumagamit ang Remcos ng mga advanced na diskarte gaya ng:
- Process Injection o Process Hollowing : Ang paraang ito ay nagbibigay-daan sa Remcos na isagawa sa loob ng isang lehitimong proseso, sa gayon ay maiiwasan ang pagtuklas ng antivirus software.
- Mga Mekanismo ng Pagtitiyaga : Kapag na-install na, tinitiyak ng Remcos na mananatiling aktibo ito sa pamamagitan ng paggamit ng mga mekanismo na nagpapahintulot na tumakbo ito sa background, na nakatago mula sa user.
Imprastraktura ng Command-and-Control (C2).
Ang pangunahing kakayahan ng Remcos ay ang Command-and-Control (C2) functionality nito. Ini-encrypt ng malware ang trapiko ng komunikasyon nito patungo sa C2 server, na ginagawang mahirap para sa mga hakbang sa seguridad ng network na maharang at suriin ang data. Gumagamit ang Remcos ng Distributed DNS (DDNS) para gumawa ng maraming domain para sa mga C2 server nito. Tinutulungan ng diskarteng ito ang malware na iwasan ang mga proteksyon sa seguridad na umaasa sa pag-filter ng trapiko sa mga kilalang nakakahamak na domain, na nagpapahusay sa katatagan at pagtitiyaga nito.
Mga kakayahan ng Remcos RAT
Ang Remcos RAT ay isang makapangyarihang tool na nag-aalok ng maraming kakayahan sa mga umaatake, na nagbibigay-daan sa malawak na kontrol at pagsasamantala sa mga nahawaang system:
Pagtaas ng Pribilehiyo
Ang Remcos ay maaaring makakuha ng mga pahintulot ng Administrator sa isang nahawaang system, na nagpapahintulot dito na:
- Huwag paganahin ang User Account Control (UAC).
- Magsagawa ng iba't ibang malisyosong function na may mataas na mga pribilehiyo.
Pag-iwas sa Depensa
Sa pamamagitan ng paggamit ng proseso ng pag-iniksyon, inilalagay ng Remcos ang sarili nito sa loob ng mga lehitimong proseso, na ginagawa itong hamon para sa antivirus software na matukoy. Bukod pa rito, ang kakayahang tumakbo sa background ay higit pang nagtatago sa presensya nito mula sa mga user.
Pagkolekta ng data
Ang Remcos ay sanay sa pagkolekta ng malawak na hanay ng data mula sa nahawaang sistema, kabilang ang:
- Mga keystroke
- Mga screenshot
- Mga pag-record ng audio
- Mga nilalaman ng clipboard
- Mga nakaimbak na password
Epekto ng Remcos RAT Infection
Ang mga kahihinatnan ng isang impeksyon sa Remcos ay makabuluhan at maraming aspeto, na nakakaapekto sa parehong mga indibidwal na user at organisasyon:
- Pagkuha ng Account
Sa pamamagitan ng pag-log ng mga keystroke at pagnanakaw ng mga password, binibigyang-daan ng Remcos ang mga umaatake na kunin ang mga online na account at iba pang mga system, na posibleng humantong sa higit pang pagnanakaw ng data at hindi awtorisadong pag-access sa loob ng network ng isang organisasyon. - Pagnanakaw ng Data
Ang Remcos ay may kakayahang mag-exfiltrate ng sensitibong data mula sa nahawaang sistema. Maaari itong magresulta sa mga paglabag sa data, alinman nang direkta mula sa nakompromisong computer o mula sa iba pang mga system na na-access gamit ang mga ninakaw na kredensyal. - Follow-On Impeksyon
Ang impeksyon sa Remcos ay maaaring magsilbing gateway para sa pag-deploy ng mga karagdagang variant ng malware. Pinatataas nito ang panganib ng mga kasunod na pag-atake, tulad ng mga impeksyon sa ransomware, na lalong nagpapalala sa pinsala.
Proteksyon Laban sa Remcos Malware
Maaaring gumamit ang mga organisasyon ng ilang diskarte at pinakamahuhusay na kagawian upang maprotektahan laban sa mga impeksyon sa Remcos:
Pag-scan ng Email
Ang pagpapatupad ng mga solusyon sa pag-scan ng email na tumutukoy at nagba-block ng mga kahina-hinalang email ay maaaring pigilan ang paunang paghahatid ng Remcos sa mga inbox ng mga user.
Pagsusuri ng Domain
Ang pagsubaybay at pagsusuri sa mga rekord ng domain na hiniling ng mga endpoint ay makakatulong na matukoy at ma-block ang mga bata o kahina-hinalang domain na maaaring nauugnay sa Remcos.
Pagsusuri ng Trapiko sa Network
Ang mga variant ng Remcos na nag-e-encrypt ng kanilang trapiko gamit ang mga hindi karaniwang protocol ay maaaring matukoy sa pamamagitan ng pagsusuri sa trapiko ng network, na maaaring mag-flag ng mga hindi pangkaraniwang pattern ng trapiko para sa karagdagang pagsisiyasat.
Seguridad ng Endpoint
Ang pag-deploy ng mga solusyon sa seguridad ng endpoint na may kakayahang tumukoy at mabawi ang mga impeksyon sa Remcos ay napakahalaga. Ang mga solusyong ito ay umaasa sa mga naitatag na tagapagpahiwatig ng kompromiso upang matukoy at ma-neutralize ang malware.
Pagsasamantala sa CrowdStrike Outage
Sa isang kamakailang insidente, pinagsamantalahan ng mga cybercriminal ang isang pandaigdigang pagkawala ng cybersecurity firm na CrowdStrike upang ipamahagi ang Remcos RAT. Tinarget ng mga umaatake ang mga customer ng CrowdStrike sa Latin America sa pamamagitan ng pamamahagi ng ZIP archive file na pinangalanang 'crowdstrike-hotfix.zip.' Ang file na ito ay naglalaman ng malware loader, Hijack Loader, na kasunod na inilunsad ang Remcos RAT payload.
Ang ZIP archive ay may kasamang text file ('instrucciones.txt') na may mga tagubilin sa wikang Espanyol, na humihimok sa mga target na magpatakbo ng isang executable file ('setup.exe') para diumano'y makabawi mula sa isyu. Ang paggamit ng mga Spanish filename at mga tagubilin ay nagpapahiwatig ng isang naka-target na kampanya na naglalayong sa mga customer ng CrowdStrike na nakabase sa Latin America.
Konklusyon
Ang Remcos RAT ay isang makapangyarihan at maraming nalalaman na malware na nagdudulot ng malaking banta sa mga Windows system. Ang kakayahan nitong umiwas sa pagtuklas, makakuha ng matataas na pribilehiyo, at mangolekta ng malawak na data ay ginagawa itong isang pinapaboran na tool sa mga cybercriminal. Sa pamamagitan ng pag-unawa sa mga paraan ng pag-deploy, kakayahan, at epekto nito, mas makakapagtanggol ang mga organisasyon laban sa malisyosong software na ito. Ang pagpapatupad ng matatag na mga hakbang sa seguridad at pananatiling mapagbantay laban sa mga pag-atake ng phishing ay mga mahahalagang hakbang sa pagpapagaan sa panganib na dulot ng Remcos RAT.
Nakikita at Tinatanggal ng SpyHunter ang RemcosRAT
RemcosRAT Video
Tip: I- ON ang iyong tunog at panoorin ang video sa Full Screen mode .
Mga Detalye ng File System
# | Pangalan ng File | MD5 |
Mga pagtuklas
Mga Detection: Ang bilang ng mga nakumpirma at pinaghihinalaang kaso ng isang partikular na banta na nakita sa mga nahawaang computer gaya ng iniulat ng SpyHunter.
|
---|---|---|---|
1. | 7g1cq51137eqs.exe | aeca465c269f3bd7b5f67bc9da8489cb | 83 |
2. | 321.exe | d435cebd8266fa44111ece457a1bfba1 | 45 |
3. | windslfj.exe | 968650761a5d13c26197dbf26c56552a | 5 |
4. | file.exe | 83dd9dacb72eaa793e982882809eb9d5 | 5 |
5. | Legit Program.exe | cd2c23deea7f1eb6b19a42fd3affb0ee | 3 |
6. | unseen.exe | d8cff8ec41992f25ef3127e32e379e3b | 2 |
7. | file.exe | 601ceb7114eefefd1579fae7b0236e66 | 1 |
8. | file.exe | c9923150d5c18e4932ed449c576f7942 | 1 |
9. | file.exe | 20dc88560b9e77f61c8a88f8bcf6571f | 1 |
10. | file.exe | c41f7add0295861e60501373d87d586d | 1 |
11. | file.exe | 8671446732d37b3ad4c120ca2b39cfca | 0 |
12. | File.exe | 35b954d9a5435f369c59cd9d2515c931 | 0 |
13. | file.exe | 3e25268ff17b48da993b74549de379f4 | 0 |
14. | file.exe | b79dcc45b3d160bce8a462abb44e9490 | 0 |
15. | file.exe | 390ebb54156149b66b77316a8462e57d | 0 |
16. | e12cd6fe497b42212fa8c9c19bf51088 | e12cd6fe497b42212fa8c9c19bf51088 | 0 |
17. | file.exe | 1d785c1c5d2a06d0e519d40db5b2390a | 0 |
18. | file.exe | f48496b58f99bb6ec9bc35e5e8dc63b8 | 0 |
19. | file.exe | 5f50bcd2cad547c4e766bdd7992bc12a | 0 |
20. | file.exe | 1645b2f23ece660689172547bd2fde53 | 0 |
21. | 50a62912a3a282b1b11f78f23d0e5906 | 50a62912a3a282b1b11f78f23d0e5906 | 0 |
Mga Detalye ng Rehistro
Mga direktoryo
Maaaring lumikha ang RemcosRAT ng sumusunod na direktoryo o mga direktoryo:
%ALLUSERSPROFILE%\task manager |
%APPDATA%\Badlion |
%APPDATA%\Extress |
%APPDATA%\GoogleChrome |
%APPDATA%\JagexLIVE |
%APPDATA%\Remc |
%APPDATA%\Shockwave |
%APPDATA%\appdata |
%APPDATA%\googlecrome |
%APPDATA%\hyerr |
%APPDATA%\loader |
%APPDATA%\pdf |
%APPDATA%\remcoco |
%APPDATA%\ujmcos |
%APPDATA%\verify |
%APPDATA%\windir |
%AppData%\remcos |
%PROGRAMFILES(x86)%\Microsft Word |
%TEMP%\commonafoldersz |
%TEMP%\remcos |
%Userprofile%\remcos |
%WINDIR%\SysWOW64\Adobe Inc |
%WINDIR%\SysWOW64\remcos |
%WINDIR%\SysWOW64\skype |
%WINDIR%\System32\rel |
%WINDIR%\System32\remcos |
%WINDIR%\notepad++ |
%WINDIR%\remcos |