Campagne de phishing Remcos RAT : Une chaîne d’infection mise à jour
Table des matières :
Une nouvelle vague de phishing livrant la charge utile Remcos RAT a été observée par des chercheurs en sécurité. Remcos est un cheval de Troie d’administration à distance commercial développé par la société Breaking Security, accessible gratuitement depuis leur site Web. Selon la source qui a développé cet outil, Remcos est capable de télécharger des dossiers entiers en un seul clic, d’utiliser une gamme de fonctionnalités de gestion de fichiers, d’utiliser un enregistreur de frappe et d’établir une connexion avec un serveur C&C. Il convient de mentionner que Remcos RAT est continuellement amélioré. Les dernières mises à jour ont été publiées le 1er avril 2022.
Les fonctionnalités susmentionnées permettent aux attaquants de maintenir la persistance, de mener des reconnaissances (avec enregistrement audio et captures d’écran), de voler des informations sensibles et de prendre le contrôle des machines infectées sans aucun changement visible dans le fonctionnement et donc à l’insu de l’utilisateur.
La campagne en cours est à vocation financière et imite les notifications de paiement de remise d’institutions légitimes telles que FIS Global, Wells Fargo et ACH Payment. Découvrez les possibilités de notre contenu de détection pour les solutions SIEM, EDR & XDR qui vous aideront à repérer la nouvelle activité du cheval de Troie Remcos RAT dans votre infrastructure.
Infection par le Trojan Remcos : Comment détecter ?
Déployez la plus récente règle de détection basée sur Sigmacréée par notre développeur Threat Bounty Aytek Aytemur pour être en mesure de repérer le dernier comportement de Remcos RAT.
Cette détection est disponible pour les formats SIEM, EDR & XDR suivants : Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Devo, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, AWS OpenSearch.
La règle est alignée sur le dernier cadre MITRE ATT&CK® v.10, abordant la tactique d’Exécution et la technique d’Exécution par l’utilisateur (T1204).
Remcos RAT existe depuis un certain temps, c’est pourquoi de nombreux signes de son activité peuvent déjà être détectés. Plongez dans notre liste complète de règles basées sur Sigma associées aux attaques de Remcos pour être conscient d’une gamme complète d’activités que ce malware peut exécuter. De plus, si vous rédigez vos propres détections, consultez notre initiative de financement participatif qui vous permet de monétiser en rendant le monde cybernétique plus sûr.
Voir les détections Rejoignez Threat Bounty
Analyse des campagnes de spam Remcos
La chaîne d’attaque typique commence par l’envoi d’un fichier XLS infecté par un e-mail de phishing. Pour éviter la détection, les adversaires ajoutent une protection par mot de passe à ce fichier. Une fois qu’une victime l’ouvre et active les macros, le code XML malveillant permet l’exécution des paramètres binaires de Remcos.
Par une série de commandes PowerShell, le fichier XLS permet de créer et d’exécuter un nouveau fichier VBS. La chaîne se poursuit car ce dernier exécute une autre commande similaire qui télécharge, enregistre et exécute le fichier suivant extrait d’un serveur C&C malveillant. Ce dernier fichier se connecte de nouveau au serveur et délivre une commande cmdlet chiffrée qui charge et déchiffre toute une séquence d’actions différente basée sur un objet .NET, livrant le RAT final à la fin de cette séquence.
En conséquence, les chercheurs concluent que la composante finale de Remcos RAT est livrée grâce à une chaîne complexe de stades d’infection qui dépendent largement de leur connexion avec le serveur C2 où tous les fichiers nécessaires sont stockés. Comme vous pouvez le voir, les informations et les codes obfusqués à l’intérieur des souches de malware sont développés spécifiquement pour échapper aux contrôles de sécurité disponibles. Cependant, en utilisant le contenu de détection le plus récent, il est possible de rester en avance sur les attaques modernes sophistiquées. Accédez au pouvoir de la défense collaborative en rejoignant notre SOC Prime Detection as Code plateforme, où des spécialistes de la sécurité reconnus mondialement se réunissent pour créer en permanence des détections cybernétiques de haute qualité.
