Multi-License Discount Quote
Base de dades d'amenaces Trojans RemcosRAT

RemcosRAT

El CagedTech el Trojans, Remote Administration Tools
Traduir a:
Català

Quadre de puntuació d'amenaça

Classificació: 4,425
Nivell d'amenaça: 80 % (Alt)
Ordinadors infectats: 26,563
Primer vist: October 16, 2016
Vist per últim cop: August 5, 2024
Sistema operatiu(s) afectat(s): Windows

Remcos RAT (troià d'accés remot) és un programari maliciós sofisticat dissenyat per infiltrar-se i controlar els sistemes operatius Windows. Desenvolupat i venut per una empresa alemanya anomenada Breaking Security com a eina legítima de control remot i vigilància, Remcos és freqüentment abusat pels ciberdelinqüents amb finalitats malicioses. Aquest article aprofundeix en les característiques, capacitats, impactes i defenses relacionades amb Remcos RAT, així com incidents destacats recents relacionats amb el seu desplegament.

Mètodes de desplegament i infecció

Atacs de pesca
Remcos es distribueix normalment mitjançant atacs de pesca, en què els usuaris desprevinguts són enganyats perquè baixin i executin fitxers maliciosos. Aquests correus electrònics de pesca sovint contenen:

Fitxers ZIP maliciosos disfressats de PDF, que diuen que són factures o comandes.
Documents de Microsoft Office amb macros malicioses incrustades dissenyades per desplegar el programari maliciós després de l'activació.

Tècniques d'evasió
Per evitar la detecció, Remcos utilitza tècniques avançades com ara:

  • Process Injection o Process Hollowing : aquest mètode permet a Remcos executar-se dins d'un procés legítim, evitant així la detecció del programari antivirus.
  • Mecanismes de persistència : un cop instal·lat, Remcos assegura que roman actiu mitjançant l'ús de mecanismes que li permeten executar-se en segon pla, ocults a l'usuari.

Infraestructura de comandament i control (C2).

Una capacitat bàsica de Remcos és la seva funcionalitat de comandament i control (C2). El programari maliciós xifra el trànsit de comunicacions en ruta cap al servidor C2, cosa que dificulta que les mesures de seguretat de la xarxa interceptin i analitzin les dades. Remcos utilitza DNS distribuït (DDNS) per crear diversos dominis per als seus servidors C2. Aquesta tècnica ajuda el programari maliciós a evadir les proteccions de seguretat que es basen en filtrar el trànsit a dominis maliciosos coneguts, millorant-ne la resistència i la persistència.

Capacitats de Remcos RAT

Remcos RAT és una potent eina que ofereix nombroses capacitats als atacants, permetent un control i explotació extensos dels sistemes infectats:

Elevació de privilegis
Remcos pot obtenir permisos d'administrador en un sistema infectat, cosa que li permet:

  • Desactiva el control del compte d'usuari (UAC).
  • Executeu diverses funcions malicioses amb privilegis elevats.

Evasió de defensa
Mitjançant l'ús de la injecció de processos, Remcos s'incrusta dins de processos legítims, cosa que fa que el programari antivirus sigui difícil de detectar. A més, la seva capacitat per executar-se en segon pla amaga encara més la seva presència als usuaris.

Recopilació de dades

Remcos és capaç de recopilar una àmplia gamma de dades del sistema infectat, com ara:

  • Tecles de teclat
  • Captures de pantalla
  • Enregistraments d'àudio
  • Continguts del porta-retalls
  • Contrasenyes emmagatzemades

Impacte d'una infecció per RAT de Remcos

Les conseqüències d'una infecció per Remcos són importants i polièdriques, i afecten tant a usuaris individuals com a organitzacions:

  • Adquisició de comptes
    Mitjançant el registre de les pulsacions de tecla i el robatori de contrasenyes, Remcos permet als atacants fer-se càrrec de comptes en línia i d'altres sistemes, la qual cosa pot provocar més robatoris de dades i accés no autoritzat a la xarxa d'una organització.
  • Robatori de dades
    Remcos és capaç d'exfiltrar dades sensibles del sistema infectat. Això pot provocar violacions de dades, ja sigui directament des de l'ordinador compromès o des d'altres sistemes als quals s'accedeix mitjançant credencials robades.
  • Infeccions posteriors
    Una infecció amb Remcos pot servir com a porta d'entrada per desplegar variants de programari maliciós addicionals. Això augmenta el risc d'atacs posteriors, com ara infeccions per ransomware, i agreuja encara més el dany.

Protecció contra el programari maliciós Remcos

Les organitzacions poden adoptar diverses estratègies i bones pràctiques per protegir-se de les infeccions de Remcos:

Escaneig de correu electrònic
La implementació de solucions d'escaneig de correu electrònic que identifiquen i bloquegen correus electrònics sospitosos pot evitar el lliurament inicial de Remcos a les safates d'entrada dels usuaris.

Anàlisi de dominis
La supervisió i l'anàlisi dels registres de domini sol·licitats pels punts finals pot ajudar a identificar i bloquejar dominis joves o sospitosos que poden estar associats amb Remcos.

Anàlisi de trànsit a la xarxa
Les variants de Remcos que xifren el seu trànsit mitjançant protocols no estàndard es poden detectar mitjançant l'anàlisi del trànsit de la xarxa, que pot marcar patrons de trànsit inusuals per a una investigació posterior.

Seguretat de punt final
El desplegament de solucions de seguretat de punt final amb la capacitat de detectar i corregir les infeccions de Remcos és crucial. Aquestes solucions es basen en indicadors de compromís establerts per identificar i neutralitzar el programari maliciós.

Explotació de CrowdStrike Outage

En un incident recent, els ciberdelinqüents van aprofitar una interrupció mundial de la firma de ciberseguretat CrowdStrike per distribuir Remcos RAT. Els atacants van atacar els clients de CrowdStrike a Llatinoamèrica distribuint un fitxer d'arxiu ZIP anomenat "crowdstrike-hotfix.zip". Aquest fitxer contenia un carregador de programari maliciós, Hijack Loader, que posteriorment va llançar la càrrega útil Remcos RAT.

L'arxiu ZIP incloïa un fitxer de text ('instrucciones.txt') amb instruccions en castellà, que instava els objectius a executar un fitxer executable ('setup.exe') per suposadament recuperar-se del problema. L'ús de noms de fitxer i instruccions espanyols indica una campanya dirigida als clients de CrowdStrike de Llatinoamèrica.

Conclusió

Remcos RAT és un programari maliciós potent i versàtil que suposa una amenaça important per als sistemes Windows. La seva capacitat per evadir la detecció, obtenir privilegis elevats i recopilar dades extenses el converteix en una eina preferida entre els ciberdelinqüents. En comprendre els seus mètodes de desplegament, capacitats i impactes, les organitzacions poden defensar-se millor contra aquest programari maliciós. La implementació de mesures de seguretat sòlides i la vigilància davant els atacs de pesca són passos crucials per mitigar el risc que suposa Remcos RAT.

SpyHunter detecta i elimina RemcosRAT

RemcosRAT Vídeo

Consell: activa el so i mira el vídeo en mode de pantalla completa .

Detalls del sistema de fitxers

RemcosRAT pot crear els fitxers següents:
Amplia-ho tot | Col · lapsar tot
# Nom de l'arxiu MD5 Deteccions
1. 7g1cq51137eqs.exe aeca465c269f3bd7b5f67bc9da8489cb 83
2. 321.exe d435cebd8266fa44111ece457a1bfba1 45
3. windslfj.exe 968650761a5d13c26197dbf26c56552a 5
4. file.exe 83dd9dacb72eaa793e982882809eb9d5 5
5. Legit Program.exe cd2c23deea7f1eb6b19a42fd3affb0ee 3
6. unseen.exe d8cff8ec41992f25ef3127e32e379e3b 2
7. file.exe 601ceb7114eefefd1579fae7b0236e66 1
8. file.exe c9923150d5c18e4932ed449c576f7942 1
9. file.exe 20dc88560b9e77f61c8a88f8bcf6571f 1
10. file.exe c41f7add0295861e60501373d87d586d 1
11. file.exe 8671446732d37b3ad4c120ca2b39cfca 0
12. File.exe 35b954d9a5435f369c59cd9d2515c931 0
13. file.exe 3e25268ff17b48da993b74549de379f4 0
14. file.exe b79dcc45b3d160bce8a462abb44e9490 0
15. file.exe 390ebb54156149b66b77316a8462e57d 0
16. e12cd6fe497b42212fa8c9c19bf51088 e12cd6fe497b42212fa8c9c19bf51088 0
17. file.exe 1d785c1c5d2a06d0e519d40db5b2390a 0
18. file.exe f48496b58f99bb6ec9bc35e5e8dc63b8 0
19. file.exe 5f50bcd2cad547c4e766bdd7992bc12a 0
20. file.exe 1645b2f23ece660689172547bd2fde53 0
21. 50a62912a3a282b1b11f78f23d0e5906 50a62912a3a282b1b11f78f23d0e5906 0

Detalls del registre

RemcosRAT pot crear les següents entrades de registre o entrades de registre:
Regexp file mask
%APPDATA%\aitagent\aitagent.exe
%APPDATA%\Analysernes1.exe
%APPDATA%\Audiohd.exe
%APPDATA%\Bagsmks8.exe
%APPDATA%\Behandlingens[RANDOM CHARACTERS].exe
%APPDATA%\Brnevrelser[RANDOM CHARACTERS].exe
%appdata%\calc.exe
%APPDATA%\chrome\chrome.exe
%APPDATA%\deseret.pif
%APPDATA%\explorer\explore.exe
%APPDATA%\Extortioner.exe
%APPDATA%\firewall.exe
%APPDATA%\foc\foc.exe
%APPDATA%\Holmdel8.exe
%APPDATA%\Install\laeu.exe
%APPDATA%\Irenas.exe
%APPDATA%\Javaw\Javaw.exe
%APPDATA%\Machree[RANDOM CHARACTERS].exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\filename.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\firewall.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Holmdel8.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Legit Program.exe
%APPDATA%\Mozila\Mozila.exe
%APPDATA%\newremcos.exe
%APPDATA%\remcos.exe
%APPDATA%\SearchUI.exe
%APPDATA%\Smartse\smartse.exe
%AppData%\spoolsv.exe
%APPDATA%\System\logs.dat
%APPDATA%\Tornlst.exe
%APPDATA%\WindowsDefender\WindowsDefender.exe
%PROGRAMFILES%\AppData\drivers.exe
%TEMP%\Name of the melted file.exe
%WINDIR%\System32\remcomsvc.exe
%WINDIR%\SysWOW64\remcomsvc.exe
HKEY..\..\..\..{RegistryKeys}
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\remcos
SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\remcos

Directoris

RemcosRAT pot crear el directori o directoris següents:

%ALLUSERSPROFILE%\task manager
%APPDATA%\Badlion
%APPDATA%\Extress
%APPDATA%\GoogleChrome
%APPDATA%\JagexLIVE
%APPDATA%\Remc
%APPDATA%\Shockwave
%APPDATA%\appdata
%APPDATA%\googlecrome
%APPDATA%\hyerr
%APPDATA%\loader
%APPDATA%\pdf
%APPDATA%\remcoco
%APPDATA%\ujmcos
%APPDATA%\verify
%APPDATA%\windir
%AppData%\remcos
%PROGRAMFILES(x86)%\Microsft Word
%TEMP%\commonafoldersz
%TEMP%\remcos
%Userprofile%\remcos
%WINDIR%\SysWOW64\Adobe Inc
%WINDIR%\SysWOW64\remcos
%WINDIR%\SysWOW64\skype
%WINDIR%\System32\rel
%WINDIR%\System32\remcos
%WINDIR%\notepad++
%WINDIR%\remcos

Tendència

Més vist

Carregant...