RemcosRAT
Картка показників загроз
EnigmaSoft Threat Scorecard
EnigmaSoft Threat Scorecards – це звіти про оцінку різних загроз зловмисного програмного забезпечення, які були зібрані та проаналізовані нашою дослідницькою групою. EnigmaSoft Threat Scorecards оцінює та ранжує загрози за допомогою кількох показників, включаючи реальні та потенційні фактори ризику, тенденції, частоту, поширеність та стійкість. EnigmaSoft Threat Scorecards регулярно оновлюються на основі даних наших досліджень і показників і є корисними для широкого кола користувачів комп’ютерів, від кінцевих користувачів, які шукають рішення для видалення зловмисного програмного забезпечення зі своїх систем, до експертів з безпеки, які аналізують загрози.
EnigmaSoft Threat Scorecards відображає різноманітну корисну інформацію, зокрема:
Рейтинг: рейтинг певної загрози в базі даних загроз EnigmaSoft.
Рівень серйозності: визначений рівень серйозності об’єкта, представлений числово на основі нашого процесу моделювання ризиків і досліджень, як пояснюється в наших Критеріях оцінки загроз .
Заражені комп’ютери: кількість підтверджених і підозрюваних випадків певної загрози, виявленої на заражених комп’ютерах, як повідомляє SpyHunter.
Дивіться також Критерії оцінки загрози .
Рейтинг: | 4,425 |
Рівень загрози: | 80 % (Високий) |
Заражені комп’ютери: | 26,563 |
Вперше побачили: | October 16, 2016 |
Востаннє бачили: | August 5, 2024 |
ОС (ОС), які постраждали: | Windows |
Remcos RAT (троян віддаленого доступу) — це складне зловмисне програмне забезпечення, призначене для проникнення та контролю операційних систем Windows. Розроблений і проданий німецькою компанією під назвою Breaking Security як законний інструмент дистанційного керування та спостереження, Remcos часто зловживають кіберзлочинцями в зловмисних цілях. У цій статті розглядаються характеристики, можливості, вплив і засоби захисту, пов’язані з Remcos RAT, а також нещодавні помітні інциденти, пов’язані з його розгортанням.
Зміст
Методи розгортання та зараження
Фішингові атаки
Remcos зазвичай поширюється через фішингові атаки, під час яких нічого не підозрюють користувачів обманом змушують завантажити та запустити шкідливі файли. Ці фішингові листи часто містять:
Шкідливі ZIP-файли, замасковані під PDF-файли, що видаються за рахунки-фактури чи замовлення.
Документи Microsoft Office із вбудованими шкідливими макросами, призначеними для розгортання зловмисного програмного забезпечення після активації.
Методи ухилення
Щоб уникнути виявлення, Remcos використовує передові методи, такі як:
- Процес ін’єкції або процес Hollowing : цей метод дозволяє Remcos виконувати в рамках законного процесу, таким чином уникаючи виявлення антивірусним програмним забезпеченням.
- Механізми постійності : після встановлення Remcos гарантує, що він залишається активним, використовуючи механізми, які дозволяють працювати у фоновому режимі, приховано від користувача.
Командно-контрольна (C2) інфраструктура
Основною можливістю Remcos є його функція командування та керування (C2). Зловмисне програмне забезпечення шифрує свій комунікаційний трафік на шляху до сервера C2, ускладнюючи заходи безпеки мережі для перехоплення та аналізу даних. Remcos використовує розподілений DNS (DDNS) для створення кількох доменів для своїх серверів C2. Ця техніка допомагає зловмисному програмному забезпеченню уникнути засобів захисту, які покладаються на фільтрацію трафіку до відомих шкідливих доменів, підвищуючи його стійкість і наполегливість.
Можливості Remcos RAT
Remcos RAT — це потужний інструмент, який надає зловмисникам численні можливості, забезпечуючи широкий контроль і використання заражених систем:
Висота привілеїв
Remcos може отримати права адміністратора в зараженій системі, що дозволяє:
- Вимкніть контроль облікових записів користувачів (UAC).
- Виконуйте різноманітні шкідливі функції з підвищеними привілеями.
Ухилення від захисту
Використовуючи впровадження процесу, Remcos вбудовує себе в законні процеси, що ускладнює виявлення антивірусним програмним забезпеченням. Крім того, його здатність працювати у фоновому режимі ще більше приховує його присутність від користувачів.
Збір даних
Remcos вміє збирати широкий спектр даних із зараженої системи, зокрема:
- натискання клавіш
- Скріншоти
- Аудіозаписи
- Вміст буфера обміну
- Збережені паролі
Вплив зараження Remcos RAT
Наслідки зараження Remcos значні та багатогранні, впливаючи як на окремих користувачів, так і на організації:
- Захоплення облікового запису
Реєструючи натискання клавіш і викрадаючи паролі, Remcos дозволяє зловмисникам заволодіти онлайн-акаунтами та іншими системами, що потенційно може призвести до подальшої крадіжки даних і несанкціонованого доступу до мережі організації. - Крадіжка даних
Remcos здатний вилучати конфіденційні дані із зараженої системи. Це може призвести до витоку даних безпосередньо з скомпрометованого комп’ютера або з інших систем, доступ до яких здійснюється за допомогою викрадених облікових даних. - Подальші інфекції
Зараження Remcos може служити шлюзом для розгортання додаткових варіантів шкідливого програмного забезпечення. Це збільшує ризик наступних атак, наприклад зараження програмами-вимагачами, що ще більше посилює шкоду.
Захист від шкідливих програм Remcos
Організації можуть прийняти кілька стратегій і найкращих практик для захисту від інфекцій Remcos:
Сканування електронної пошти
Впровадження рішень для сканування електронної пошти, які ідентифікують і блокують підозрілі електронні листи, може запобігти первинній доставці Remcos до вхідних повідомлень користувачів.
Аналіз домену
Моніторинг і аналіз записів домену, запитуваних кінцевими точками, можуть допомогти виявити та заблокувати молоді або підозрілі домени, які можуть бути пов’язані з Remcos.
Аналіз мережевого трафіку
Варіанти Remcos, які шифрують свій трафік за допомогою нестандартних протоколів, можна виявити за допомогою аналізу мережевого трафіку, який може позначати незвичні шаблони трафіку для подальшого дослідження.
Безпека кінцевої точки
Розгортання рішень безпеки кінцевих точок із можливістю виявлення та усунення інфекцій Remcos має вирішальне значення. Ці рішення покладаються на встановлені індикатори компрометації для виявлення та нейтралізації зловмисного програмного забезпечення.
Використання CrowdStrike Outage
Під час нещодавнього інциденту кіберзлочинці скористалися всесвітнім збоєм у роботі фірми з кібербезпеки CrowdStrike, щоб розповсюдити Remcos RAT. Зловмисники атакували клієнтів CrowdStrike у Латинській Америці, розповсюджуючи архівний файл ZIP під назвою "crowdstrike-hotfix.zip". Цей файл містив завантажувач шкідливих програм Hijack Loader, який згодом запускав корисне навантаження Remcos RAT.
ZIP-архів містив текстовий файл ("instrucciones.txt") з іспаномовними інструкціями, які закликали цільові програми запустити виконуваний файл ("setup.exe"), щоб нібито відновити проблему. Використання іспанських назв файлів та інструкцій вказує на цільову кампанію, націлену на клієнтів CrowdStrike з Латинської Америки.
Висновок
Remcos RAT — це потужна та універсальна шкідлива програма, яка становить серйозну загрозу для систем Windows. Його здатність уникати виявлення, отримувати підвищені привілеї та збирати велику кількість даних робить його улюбленим інструментом серед кіберзлочинців. Розуміючи методи його розгортання, можливості та вплив, організації можуть краще захиститися від цього шкідливого програмного забезпечення. Впровадження надійних заходів безпеки та пильність проти фішингових атак є ключовими кроками для зменшення ризику, який створює Remcos RAT.
SpyHunter виявляє та видаляє RemcosRAT
RemcosRAT Відео
Порада. Увімкніть звук і дивіться відео в повноекранному режимі .
Деталі файлової системи
# | Ім'я файлу | MD5 |
Виявлення
Виявлення: кількість підтверджених і підозрюваних випадків певної загрози, виявлених на заражених комп’ютерах, як повідомляє SpyHunter.
|
---|---|---|---|
1. | 7g1cq51137eqs.exe | aeca465c269f3bd7b5f67bc9da8489cb | 83 |
2. | 321.exe | d435cebd8266fa44111ece457a1bfba1 | 45 |
3. | windslfj.exe | 968650761a5d13c26197dbf26c56552a | 5 |
4. | file.exe | 83dd9dacb72eaa793e982882809eb9d5 | 5 |
5. | Legit Program.exe | cd2c23deea7f1eb6b19a42fd3affb0ee | 3 |
6. | unseen.exe | d8cff8ec41992f25ef3127e32e379e3b | 2 |
7. | file.exe | 601ceb7114eefefd1579fae7b0236e66 | 1 |
8. | file.exe | c9923150d5c18e4932ed449c576f7942 | 1 |
9. | file.exe | 20dc88560b9e77f61c8a88f8bcf6571f | 1 |
10. | file.exe | c41f7add0295861e60501373d87d586d | 1 |
11. | file.exe | 8671446732d37b3ad4c120ca2b39cfca | 0 |
12. | File.exe | 35b954d9a5435f369c59cd9d2515c931 | 0 |
13. | file.exe | 3e25268ff17b48da993b74549de379f4 | 0 |
14. | file.exe | b79dcc45b3d160bce8a462abb44e9490 | 0 |
15. | file.exe | 390ebb54156149b66b77316a8462e57d | 0 |
16. | e12cd6fe497b42212fa8c9c19bf51088 | e12cd6fe497b42212fa8c9c19bf51088 | 0 |
17. | file.exe | 1d785c1c5d2a06d0e519d40db5b2390a | 0 |
18. | file.exe | f48496b58f99bb6ec9bc35e5e8dc63b8 | 0 |
19. | file.exe | 5f50bcd2cad547c4e766bdd7992bc12a | 0 |
20. | file.exe | 1645b2f23ece660689172547bd2fde53 | 0 |
21. | 50a62912a3a282b1b11f78f23d0e5906 | 50a62912a3a282b1b11f78f23d0e5906 | 0 |
Деталі реєстру
Довідники
RemcosRAT може створити наступний каталог або каталоги:
%ALLUSERSPROFILE%\task manager |
%APPDATA%\Badlion |
%APPDATA%\Extress |
%APPDATA%\GoogleChrome |
%APPDATA%\JagexLIVE |
%APPDATA%\Remc |
%APPDATA%\Shockwave |
%APPDATA%\appdata |
%APPDATA%\googlecrome |
%APPDATA%\hyerr |
%APPDATA%\loader |
%APPDATA%\pdf |
%APPDATA%\remcoco |
%APPDATA%\ujmcos |
%APPDATA%\verify |
%APPDATA%\windir |
%AppData%\remcos |
%PROGRAMFILES(x86)%\Microsft Word |
%TEMP%\commonafoldersz |
%TEMP%\remcos |
%Userprofile%\remcos |
%WINDIR%\SysWOW64\Adobe Inc |
%WINDIR%\SysWOW64\remcos |
%WINDIR%\SysWOW64\skype |
%WINDIR%\System32\rel |
%WINDIR%\System32\remcos |
%WINDIR%\notepad++ |
%WINDIR%\remcos |