Campagna di Phishing Remcos RAT: Una Catena di Infezione Aggiornata

Una nuova ondata di phishing che distribuisce payload di Remcos RAT è stata osservata dai ricercatori di sicurezza. Remcos è un trojan di amministrazione remota commerciale sviluppato dalla società Breaking Security, accessibile gratuitamente dal loro sito web. Secondo la fonte che ha sviluppato questo strumento, Remcos è capace di scaricare intere cartelle con un click, utilizzando una gamma di funzionalità del File Manager, usando un keylogger e stabilendo una connessione con un server C&C. Vale la pena menzionare che Remcos RAT viene continuamente migliorato. Gli aggiornamenti più recenti sono stati pubblicati il 1° aprile 2022.

La funzionalità sopra menzionata consente agli attaccanti di mantenere la persistenza, condurre ricognizione (con registrazione audio e screenshot), rubare informazioni sensibili e ottenere il controllo delle macchine infette senza alcun cambiamento visibile alle operazioni e quindi, a insaputa dell’utente.

La campagna in corso è orientata finanziariamente e imita le notifiche di pagamento di rimessa da istituzioni legittime, come FIS Global, Wells Fargo e ACH Payment. Scopri le possibilità del nostro contenuto di rilevamento per soluzioni SIEM, EDR & XDR che ti aiuteranno a individuare la più recente attività del trojan Remcos RAT nella tua infrastruttura.

Infezione da Trojan Remcos: Come Rilevarla?

Distribuisci la più recente regola di rilevamento basata su Sigmacreata dal nostro sviluppatore Threat Bounty Aytek Aytemur per essere in grado di individuare l’ultimo comportamento di Remcos RAT.

Esecuzione sospetta di malware Remcos da parte di PowerShell che esegue downloader a più stadi (via ps_script)

Questo rilevamento è disponibile per i seguenti formati SIEM, EDR & XDR: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Devo, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, AWS OpenSearch.

La regola è allineata con il framework MITRE ATT&CK® v.10, affrontando la tattica di Esecuzione e la tecnica di Esecuzione dell’Utente (T1204).

Remcos RAT è in circolazione da un po’ di tempo, ecco perché molti segni della sua attività possono già essere rilevati. Esplora la nostra lista completa di regole basate su Sigma associate agli attacchi di Remcos per essere consapevole di una gamma più ampia di attività che questo malware può eseguire. Inoltre, se stai scrivendo le tue rilevazioni, controlla la nostra iniziativa di crowdsourcing che ti consente di monetizzare rendendo il mondo cibernetico un posto più sicuro.

Visualizza Rilevamenti Unisciti a Threat Bounty

Analisi delle Campagne Spam Remcos

La catena di attacco tipica inizia con l’invio di un file XLS infetto tramite una email di phishing. Per evadere il rilevamento, gli avversari aggiungono la protezione con password a questo file. Una volta che una vittima lo apre e abilita le macro, il codice XML dannoso abilita l’esecuzione dei parametri binari di Remcos.

Attraverso una serie di comandi PowerShell, il file XLS facilita la creazione e l’esecuzione di un nuovo file VBS. La catena continua man mano che quest’ultimo esegue un altro comando simile che scarica, salva ed esegue il file successivo estratto da un server C&C dannoso. Quest’ultimo file si riconnette con il server e consegna un comando cmdlet crittografato che carica e decrittografa l’intera differente sequenza di azioni basate su un oggetto .NET consegnando alla fine il RAT finale.

Di conseguenza, i ricercatori concludono che il componente finale di Remcos RAT è distribuito attraverso una catena intricata di fasi di infezione che dipendono in gran parte dalla loro connessione con il server C2 dove tutti i file necessari sono archiviati. Come potete vedere, le informazioni e i codici offuscati all’interno delle varianti di malware sono sviluppati specificamente per evadere i controlli di sicurezza disponibili. Tuttavia, utilizzando il contenuto di rilevamento più recente, è possibile rimanere avanti agli attacchi moderni sofisticati. Accedi alla potenza della difesa collaborativa unendoti alla nostra piattaforma SOC Prime Detection as Code dove specialisti di sicurezza riconosciuti a livello globale si riuniscono per creare rilevamenti di alta qualità su base continua.