Conteúdo de Caça às Ameaças: Campanhas de COVID19 do Remcos RAT

O Remcos RAT foi avistado pela primeira vez em 2016. Agora, ele se declara como uma ferramenta de acesso remoto legítima, mas foi usado em várias campanhas de hacking globais. Em vários sites e fóruns, cibercriminosos anunciam, vendem e oferecem a versão crackeada deste malware. Desde o final de fevereiro, pesquisadores de segurança descobriram várias campanhas que distribuem o Trojan Remcos e exploram o tema COVID-19 em emails de phishing. 

Há algumas semanas, outra campanha visando uma pequena empresa nos Estados Unidos tornou-se conhecida: os atacantes falsificaram o email da Administração de Pequenas Empresas do Governo dos Estados Unidos para garantir que suas vítimas abrissem o anexo malicioso e iniciassem a execução em múltiplas etapas, começando com o downloader GuLoader para entregar o Trojan. Remcos pode ser usado para espionar suas vítimas, coletar credenciais, exfiltrar arquivos e executar comandos. 

Regra de caça a ameaças por Osman Demir permite que sua solução de segurança detecte novas instâncias deste Trojan de Acesso Remoto: https://tdm.socprime.com/tdm/info/VTPq73Wr1ZQs/oSF1DXIBjwDfaYjK0HeG/?p=1

A Detecção de Ameaças é suportada para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness, Sumo Logic

EDR: Elastic Endpoint

MITRE ATT&CK: 

Táticas: Execução

Técnicas: Execução pelo Usuário (T1204)

Regras YARA por Osman Demir para descobrir o RAT: https://tdm.socprime.com/tdm/info/Eh7mpdZYLttx/fCFbDXIBjwDfaYjK9Hc9/

Mais conteúdo por Emir Erdogan relacionado ao Trojan e campanhas recentes:

Detecção de Backdoor de Remcos RAT – https://tdm.socprime.com/tdm/info/0pEIgeXQQ8qJ/HCDcP3EBjwDfaYjKheK0/

Remcos RAT baixado via Internet Explorer – https://tdm.socprime.com/tdm/info/SbAfC5odSp8V/-4uRpnEB1-hfOQir2dtY/

GuLoader Faz Download de REMCOS e PARALLAX RAT – https://tdm.socprime.com/tdm/info/neIOio4uZ1xB/euYsT3EBv8lhbg_i7yo4/

Remcos Remote Access Tool (RAT) – Regras YARA – https://tdm.socprime.com/tdm/info/sDp8qxV1mDn1/g8KVz20BEiSx7l0HEpF8/