Contenido de Caza de Amenazas: Campañas de COVID19 de Remcos RAT

Remcos RAT fue detectado por primera vez en 2016. Ahora pretende ser una herramienta legítima de acceso remoto, pero fue utilizada en múltiples campañas globales de hacking. En varios sitios y foros, los ciberdelincuentes anuncian, venden y ofrecen la versión crackeada de este malware. Desde el final de febrero, los investigadores de seguridad han descubierto varias campañas que distribuyen el troyano Remcos y explotan el tema del COVID-19 en correos electrónicos de phishing. 

Hace unas semanas, otra campaña apuntó a una pequeña empresa en los Estados Unidos: los atacantes suplantaron el correo electrónico de la Administración de Pequeños Negocios del gobierno de los EE.UU. para asegurar que sus víctimas abrieran el archivo adjunto malicioso y comenzaran una ejecución en varias etapas, comenzando con el descargador GuLoader para entregar el troyano. Remcos puede ser utilizado para espiar a sus víctimas, recopilar credenciales, exfiltrar archivos y ejecutar comandos. 

Regla de búsqueda de amenazas por Osman Demir permite a su solución de seguridad detectar nuevas instancias de este troyano de acceso remoto: https://tdm.socprime.com/tdm/info/VTPq73Wr1ZQs/oSF1DXIBjwDfaYjK0HeG/?p=1

La detección de amenazas es compatible con las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness, Sumo Logic

EDR: Elastic Endpoint

MITRE ATT&CK: 

Tácticas: Ejecución

Técnicas: Ejecución de Usuario (T1204)

Reglas YARA por Osman Demir para descubrir el RAT: https://tdm.socprime.com/tdm/info/Eh7mpdZYLttx/fCFbDXIBjwDfaYjK9Hc9/

Más contenido por Emir Erdogan relacionado con el troyano y campañas recientes:

Detección del Backdoor Remcos RAT – https://tdm.socprime.com/tdm/info/0pEIgeXQQ8qJ/HCDcP3EBjwDfaYjKheK0/

Remcos RAT descargado a través de Internet Explorer – https://tdm.socprime.com/tdm/info/SbAfC5odSp8V/-4uRpnEB1-hfOQir2dtY/

GuLoader descarga REMCOS y PARALLAX RAT – https://tdm.socprime.com/tdm/info/neIOio4uZ1xB/euYsT3EBv8lhbg_i7yo4/

Herramienta de Acceso Remoto Remcos (RAT) – Reglas YARA – https://tdm.socprime.com/tdm/info/sDp8qxV1mDn1/g8KVz20BEiSx7l0HEpF8/