Ερευνητές ασφαλείας ανακάλυψαν ένα trojan malware, το οποίο είχε εμφανιστεί και στο παρελθόν. Αυτή τη φορά, το trojan μοιράζεται μέσω phishing emails. Τα emails αναφέρουν ότι έχει γίνει μια πληρωμή σε έναν τραπεζικό λογαριασμό .
Πρόκειται για το Remcos Trojan, το οποίο επιτρέπει απομακρυσμένη πρόσβαση. Το Trojan εμφανίστηκε για πρώτη φορά το 2016 σε underground forums. Από τότε έχει λάβει αρκετές ενημερώσεις και έχει εξελιχθεί. Οι hackers μπορούν να το αποκτήσουν δίνοντας μόλις $ 58.
Το Remcos Trojan είναι κατάλληλο για την κλοπή πληροφοριών και την παρακολούθηση των θυμάτων. Έχει πολλές δυνατότητες: keylogging, λήψη screenshots, κλοπή περιεχομένου clipboard. Με αυτόν τον τρόπο, το κακόβουλο λογισμικό αποκτά πρόσβαση στο όνομα χρήστη και τον κωδικό πρόσβασης του θύματος.
Η τωρινή phishing εκστρατεία, που μοιράζει το Remcos Trojan, ανακαλύφθηκε από τους ερευνητές της Fortinet. Η νέα παραλλαγή ονομάζεται “2.5.0 Pro”. Έχουν γίνει κάποιες αλλαγές στον κώδικα, που δείχνουν την εξέλιξή του.
Οι hackers στέλνουν phishing emails και εξαπατούν το θύμα, ώστε να ανοίξει ένα κακόβουλο αρχείο ZIP. Το αρχείο υποτίθεται ότι σχετίζεται με κάποια πληρωμή σε έναν τραπεζικό λογαριασμό.
Το αρχείο .ZIP είναι στην πραγματικότητα μια πύλη προς μια επέκταση .TXT, η οποία εκτελεί ένα PowerShell script. Μέσω αυτής της διαδικασίας, γίνεται η εγκατάσταση του κακόβουλου λογισμικού στη συσκευή του θύματος.
Η εγκατάσταση του trojan δεν γίνεται αντιληπτή από το θύμα.
Επιπλέον, το Remcos προστίθεται στο auto-start group στο μητρώο του συστήματος, κι έτσι ενεργοποιείται αυτόματα κάθε φορά που ανοίγει η συσκευή.
Από τη στιγμή που θα γίνει η εγκατάσταση, το κακόβουλο λογισμικό είναι σε θέση να κλέψει όλες τις πληροφορίες που εισάγονται στον web browser (πληροφορίες σχετικά με τα sites που επισκέπτεται ο χρήστης, στοιχεία που εισάγει κλπ.). Έτσι οι hackers κλέβουν τα ονόματα χρήστη και τους κωδικούς πρόσβασης των θυμάτων.
Οι εισβολείς αποκτούν πρόσβαση σε λογαριασμούς, ενώ ταυτόχρονα μπορούν να χρησιμοποιήσουν τις πληροφορίες που κλέβουν για να πραγματοποιήσουν άλλες επιθέσεις ή για να τις πουλήσουν στο dark web.
Περισσότερες πληροφορίες σχετικά με το Remcos trojan και τις δυνατότητές του μπορείτε να βρείτε στην ανάλυση των ερευνητών.
