Malware Remcos RAT Evolui com Novas Técnicas.
Um aumento acentuado nos ataques cibernéticos envolvendo o Trojan de acesso remoto (RAT) Remcos foi identificado no 3º trimestre de 2024.
O malware, entregue por meio de e-mails de phishing e anexos maliciosos, permite que os invasores controlem remotamente as máquinas das vítimas, roubem dados e realizem espionagem.
Duas variantes principais identificadas
Os pesquisadores do McAfee Labs analisaram duas variantes distintas do Remcos RAT, cada uma aproveitando métodos exclusivos de entrega e execução.
A primeira variante emprega um script do PowerShell altamente ofuscado disparado por um arquivo VBS. Esse script baixa arquivos de servidores de comando e controle (C2) e injeta código mal-intencionado no RegAsm.exe, um executável legítimo da Microsoft. Ao usar ofuscação de várias camadas, ele evita a detecção imitando caminhos e diretórios legítimos do sistema.
A segunda variante se espalha por meio de e-mails de spam contendo anexos maliciosos do Microsoft Office Open XML (DOCX). Esses arquivos exploram CVE-2017-11882, uma vulnerabilidade de execução remota de código. Após a execução, um script incorporado baixa cargas úteis de malware adicionais, levando à implantação do Remcos RAT.
Ambas as variantes compartilham várias características comuns que as tornam altamente evasivas. Eles codificam dados no formato Base64, usam URLs invertidos e evitam deixar arquivos no disco, ignorando efetivamente os sistemas tradicionais de detecção. Além disso, eles injetam suas cargas finais em processos legítimos para evitar sistemas de detecção comportamental.
Para garantir a persistência, essas variantes contam com modificações no registro e entradas na pasta de inicialização, garantindo sua presença mesmo após a reinicialização do sistema.
Informações sobre o Remcos segundo a Trend Micro
A campanha atual utiliza uma técnica de engenharia social em que os agentes de ameaças estão aproveitando o que há de novo e tendências em todo o mundo. O e-mail de phishing contém um PDF oferecendo medidas de segurança do CoronaVirus, mas, na realidade, esse PDF inclui executável para um conta-gotas REMCOS RAT que é executado junto com um arquivo VBS que executa o malware. O malware também adiciona a chave de registro de inicialização em “HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce” para que ela se torne persistente enquanto o dispositivo afetado é reiniciado.
Este Backdoor reúne as seguintes informações e as envia para seus servidores:
- Informações do computador (versão do sistema operacional, nome do computador, tipo de sistema, nome do produto, adaptador primário)
- Informações do usuário (acesso do usuário, perfil do usuário, nome do usuário, domínio do usuário)
- Informações do processador (número de revisão do processador, nível do processador, identificador do processador, arquitetura do processador)
Exemplo de spam – Spam com tema de coronavírus:
Comportamentos
- Ignora produtos antivírus
- Mantém a persistência na máquina de destino
- Executa como processo legítimo injetando no processo do Windows
- Ganha privilégios de administrador e desabilita o controle de conta de usuário (UAC)
Capacidades
- Roubo de informações
- Comandos de backdoor
Impacto
- Comprometa a segurança do sistema – com recursos de backdoor que podem executar comandos maliciosos
- Violação da privacidade do usuário – coleta credenciais do usuário, registra o pressionamento de tecla e rouba informações do usuário
Reputação do arquivo
| Detecção/Política/Regras | Ramificação / versão do padrão | Data de lançamento |
|---|---|---|
| Backdoor.Win32.REMCOS.USMANEAGFE Backdoor.Win32.REMCOS.USMANEAGFG Backdoor.Win32.REMCOS.USMANEAGFM Backdoor.Win32.REMCOS.USMANEAGFN | OPR OTORRINOLARINGOLÓGICO 15.747.00 | 17 de março de 2020 |
Aprendizado de máquina preditivo
| Detecção | Ramificação / versão do padrão |
|---|---|
| Troj.Win32.TRX.XXPE50FFF034 | Na nuvem |
Reputação na Web
| Detecção/Política/Regras | Ramificação / versão do padrão |
|---|---|
| Proteção de URL | Na nuvem |
Anti Spam
| Ramificação / versão do padrão | Data de lançamento |
|---|---|
| Padrão AS 5300 | 18 de março de 2020 |
Recomendações
- Certifique-se de sempre usar o padrão mais recente disponível para detectar as variantes antigas e novas do malware Remcos.
- Consulte o artigo da KB sobre Recomendações sobre a melhor forma de proteger sua rede usando os produtos da Trend Micro.
- Você também pode verificar o artigo em Envio de vírus suspeito ou não detectado para análise de arquivos ao Suporte Técnico.
- Para obter assistência de suporte, entre em contato com Suporte técnico da Trend Micro.
Relatório de ameaças
Fonte: Infosecurity Magazine & Trend Micro
Veja também:
- Exploits e vulnerabilidades no 3º trimestre de 2024
- Os códigos QR ignoram o isolamento do navegador para comunicação C2 maliciosa
- Black Basta Ransomware evolui
- Ataques de Engenharia Social sofisticados com IA
- 2025: ano crucial para investir em planos de disaster recovery
- Custo médio global de uma violação de dados atingiu US$ 4,88 milhões
- Criminosos roubaram credenciais da AWS
- Google Workspace Sync desatualizado bloqueia atualizações do Windows 11 24H2
- Da confiança à tecnologia: o pilar da cibersegurança nos bancos modernos
- Vulnerabilidade de implantação/inicialização do HCL DevOps
- Vídeo ‘viraliza’ por mulher se recusar a ceder janela de avião
- Deloitte responde após grupo de ransomware alegar roubo de dados
Be the first to comment