Campanha de Phishing Remcos RAT: Uma Cadeia de Infecção Atualizada
Índice:
Uma nova onda de phishing entregando carga útil do Remcos RAT foi observada por pesquisadores de segurança. Remcos é um trojan de administração remota comercial desenvolvido pela empresa Breaking Security, que está acessível gratuitamente em seu site. De acordo com a fonte que desenvolveu esta ferramenta, o Remcos é capaz de baixar pastas inteiras com um clique, utilizando uma gama de funcionalidades do Gerenciador de Arquivos, utilizando um keylogger e estabelecendo uma conexão com um servidor C&C. Vale mencionar que o Remcos RAT está sendo continuamente melhorado. As atualizações mais recentes foram publicadas em 1º de abril de 2022.
A funcionalidade acima mencionada permite que os invasores mantenham persistência, conduzam reconhecimento (com gravação de áudio e capturas de tela), roubem informações sensíveis e ganhem controle sobre as máquinas infectadas sem quaisquer alterações visíveis na operação e, portanto, desconhecido para o usuário.
A campanha em andamento é financeiramente orientada e imita notificações de pagamento de remessa de instituições legítimas, como FIS Global, Wells Fargo e ACH Payment. Descubra as possibilidades de nosso conteúdo de detecção para soluções SIEM, EDR & XDR que o ajudarão a identificar a atividade mais recente do trojan Remcos RAT em sua infraestrutura.
Infecção pelo Trojan Remcos: Como Detectar?
Implante a mais recente regra de detecção baseada em Sigma criada pelo nosso desenvolvedor do Threat BountyAytek Aytemur Aytek Aytemur para ser capaz de identificar o comportamento mais recente do Remcos RAT.
Esta detecção está disponível para os seguintes formatos SIEM, EDR & XDR: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Devo, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, AWS OpenSearch.
A regra está alinhada com a estrutura mais recente do MITRE ATT&CK® v.10, abordando a tática de Execução e a técnica de Execução do Usuário (T1204).
O Remcos RAT existe há algum tempo, por isso muitos sinais de sua atividade já podem ser detectados. Explore nossa lista abrangente de regras baseadas em Sigma associadas a ataques do Remcos para estar ciente de uma gama completa de atividades que este malware pode executar. Além disso, se você estiver criando suas próprias detecções, confira nossa iniciativa de crowdsourcing que permite monetizar tornando o mundo cibernético um lugar mais seguro.
Ver Detecções Junte-se ao Threat Bounty
Análise de Campanhas de Spam Remcos
A cadeia típica de ataque começa com o envio de um arquivo XLS infectado por e-mail de phishing. Para evitar a detecção, os adversários adicionam proteção por senha a este arquivo. Uma vez que a vítima o abre e habilita as macros, o código XML malicioso permite a execução dos parâmetros binários do Remcos.
Através de uma série de comandos PowerShell, o arquivo XLS permite a criação e execução de um novo arquivo VBS. A cadeia continua enquanto este último executa outro comando semelhante que baixa, salva e executa o próximo arquivo extraído de um servidor C&C malicioso. Este último arquivo se conecta novamente ao servidor e entrega um comando de cmdlet criptografado que carrega e descriptografa uma sequência completamente diferente de ações, baseada em um objeto .NET, entregando o RAT final ao final desta sequência.
Como resultado, os pesquisadores concluem que o componente final do Remcos RAT é entregue através de uma complexa cadeia de estágios de infecção que dependem em grande parte de sua conexão com o servidor C2 onde todos os arquivos necessários estão armazenados. Como você pode ver, informações e códigos ofuscados dentro das cepas de malware são desenvolvidos especificamente para evadir os controles de segurança disponíveis. No entanto, usando o conteúdo mais recente de detecção, é possível permanecer à frente dos ataques sofisticados modernos. Acesse o poder da defesa colaborativa juntando-se à nossa plataforma SOC Prime Detection as Code onde especialistas em segurança reconhecidos globalmente se reúnem para criar detecções cibernéticas de alta qualidade de forma contínua.
