Nevidljivi špijun: Remcos RAT

Opisi virusa, 13.12.2024, 10:00 AM

Stručnjaci za sajber bezbednost upozoravaju na nagli porast sajber napada u kojima se koristi Remcos, trojanac za daljinski pristup (RAT).

Malver, koji se isporučuje putem pshishing emailova i priloga u emailovima, omogućava napadačima da daljinski kontrolišu zaražene uređaje, kradu podatke i vrše špijunažu.

Istraživači u McAfee Labsu su analizirali dve različite varijante Remcos RAT-a, od kojih svaka koristi jedinstvene metode za isporuku i izvršenje.

Prva varijanta koristi PowerShell skriptu koju pokreće VBS fajl. Ova skripta preuzima nekoliko fajlova sa servera za komandu i kontrolu (C2) i ubacuje zlonamerni kod u RegAsm.exe, legitimni Microsoft.NET izvršni fajl. Koristeći višeslojno maskiranje koda, ova varijanta malvera izbegava otkrivanje oponašajući legitimne sistemske putanje i direktorijume.

Druga varijanta se širi putem spam emailova koji sadrže zlonamerne Microsoft Office Open XML (DOCX) priloge. Ovi fajlovi iskorišćavaju ranjivost CVE-2017-11882, a nakon izvršenja, ugrađena skripta preuzima dodatne fajlove, što na kraju dovodi do instalacije Remcos RAT-a.

Obe varijante uspešno zaobilaze tradicionalne sisteme za detekciju.

McAfee Labs je objavio indikatore kompromisa (IOC) za ove varijante, uključujući hešove fajlova i URL-ove, kako bi pomogao u otkrivanju pretnji.

Da bi se izbegla infekcija, od ključne je važnosti održavanje sistema ažuriranim, korišćenje višeslojnih bezbednosnih mera za otkrivanje i neutralisanje malvera i edukacija korisnika o prepoznavanju i izbegavanju phishing taktika sajber kriminalaca koji stoje iza napada malverom Remcos.

Foto: Pete Linforth | Pixabay