Campaña de Phishing con Remcos RAT: Una Cadena de Infección Actualizada
Tabla de contenidos:
Una nueva ola de phishing que entrega Remcos RAT payload ha sido observada por investigadores de seguridad. Remcos es un troyano de administración remota comercial desarrollado por la firma Breaking Security, que está accesible de forma gratuita desde su sitio web. Según la fuente que desarrolló esta herramienta, Remcos es capaz de descargar carpetas enteras con un solo clic, utilizando una gama de funcionalidades del Administrador de Archivos, utilizando un registrador de teclas, y estableciendo una conexión con un servidor C&C. Cabe mencionar que el Remcos RAT se mejora continuamente. Las actualizaciones más recientes se publicaron el 1 de abril de 2022.
La funcionalidad mencionada anteriormente permite a los atacantes mantener la persistencia, realizar reconocimiento (con grabación de audio y capturas de pantalla), robar información sensible y obtener control sobre las máquinas infectadas sin cambios visibles en la operación y, por lo tanto, sin que el usuario lo note.
La campaña en curso está orientada financieramente y simula notificaciones de pago de remesas de instituciones legítimas, como FIS Global, Wells Fargo y ACH Payment. Descubra las posibilidades de nuestro contenido de detección para soluciones SIEM, EDR y XDR que le ayudarán a detectar la actividad más reciente del troyano Remcos RAT en su infraestructura.
Infección por Troyano Remcos: ¿Cómo Detectar?
Despliegue la más reciente regla de detección basada en Sigmacreada por nuestro desarrollador de Threat Bounty Aytek Aytemur para poder detectar el comportamiento más reciente de Remcos RAT.
Esta detección está disponible para los siguientes formatos de SIEM, EDR y XDR: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Devo, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, AWS OpenSearch.
La regla está alineada con el marco MITRE ATT&CK® v.10 más reciente, abordando la táctica de Ejecución y la técnica de Ejecución por Parte del Usuario (T1204).
El Remcos RAT ha existido durante un tiempo, por lo que ya se pueden detectar muchos signos de su actividad. Explore nuestra lista completa de reglas basadas en Sigma asociadas con ataques de Remcos para estar al tanto de un rango más amplio de actividades que este malware puede ejecutar. Además, si está escribiendo sus propias detecciones, consulte nuestra iniciativa de crowdsourcing que le permite monetizar para hacer del mundo cibernético un lugar más seguro.
Ver Detecciones Únete a Threat Bounty
Análisis de Campañas de Spam de Remcos
La cadena típica de ataque comienza con el envío de un archivo XLS infectado a través de un correo electrónico de phishing. Para evadir la detección, los adversarios añaden protección por contraseña a este archivo. Una vez que la víctima lo abre y habilita las macros, el código XML malicioso permite la ejecución de parámetros binarios de Remcos.
A través de una serie de comandos de PowerShell, el archivo XLS permite la creación y ejecución de un nuevo archivo VBS. La cadena continúa a medida que este último ejecuta otro comando similar que descarga, guarda y ejecuta el siguiente archivo extraído de un servidor C&C malicioso. Este último archivo se conecta nuevamente con el servidor y entrega un comando cmdlet cifrado que carga y descifra toda una secuencia diferente de acciones basadas en un objeto .NET que entrega el RAT final al final de esta secuencia.
Como resultado, los investigadores concluyen que el componente final del Remcos RAT se entrega a través de una cadena intrincada de etapas de infección que dependen en gran medida de su conexión con el servidor C2 donde se almacenan todos los archivos necesarios. Como puede ver, la información y los códigos ofuscados dentro de las cepas del malware están desarrollados específicamente para evadir los controles de seguridad disponibles. Sin embargo, al usar el contenido de detección más reciente, es posible adelantarse a los ataques sofisticados modernos. Acceda al poder de la defensa colaborativa uniéndose a nuestra plataforma SOC Prime Detection as Code donde especialistas de seguridad reconocidos globalmente se reúnen para crear detecciones cibernéticas de alta calidad de manera continua.
