Κατά το 3ο τρίμηνο του 2024, ερευνητές ασφαλείας παρατήρησαν μια απότομη αύξηση των κυβερνοεπιθέσεων που περιλαμβάνουν το Remcos Remote Access Trojan (RAT).
Το κακόβουλο λογισμικό, που παραδίδεται μέσω phishing emails και κακόβουλων συνημμένων, επιτρέπει στους εισβολείς να ελέγχουν εξ αποστάσεως τις συσκευές των θυμάτων, να κλέβουν δεδομένα και να πραγματοποιούν κατασκοπεία.
Δύο νέες παραλλαγές του Remcos RAT malware
Οι ερευνητές της McAfee Labs ανέλυσαν δύο ξεχωριστές παραλλαγές του Remcos RAT.
Η πρώτη παραλλαγή χρησιμοποιεί ένα εξαιρετικά obfuscated PowerShell script, που ενεργοποιείται από ένα αρχείο VBS. Αυτό το script πραγματοποιεί λήψη αρχείων από command-and-control (C2) servers και εισάγει κακόβουλο κώδικα στο RegAsm.exe, ένα νόμιμο εκτελέσιμο αρχείο της Microsoft. Χρησιμοποιώντας obfuscation πολλαπλών επιπέδων, αποφεύγεται ο εντοπισμός.
Νέα εικόνα: Πώς ο Κρόνος κρύφτηκε πίσω από το φεγγάρι!
Βόρεια Κορέα: Κλάπηκαν crypto αξίας $ 659 εκατ. το 2024
Το TikTok ετοιμάζεται για κλείσιμο στις ΗΠΑ την Κυριακή;
Δείτε επίσης: Horns&Hooves: Νέα καμπάνια διανέμει τα NetSupport RAT & BurnsRAT
Η δεύτερη παραλλαγή του Remcos RAT εξαπλώνεται μέσω spam emails, που περιέχουν κακόβουλα συνημμένα Microsoft Office Open XML (DOCX). Αυτά τα αρχεία εκμεταλλεύονται την ευπάθεια CVE-2017-11882, που επιτρέπει απομακρυσμένη εκτέλεση κώδικα. Κατά την εκτέλεση, ένα ενσωματωμένο script κατεβάζει επιπλέον malware payloads και τελικά οδηγεί στην ανάπτυξη του Remcos RAT.
Οι δύο παραλλαγές έχουν κοινά χαρακτηριστικά και έχουν σχεδιαστεί με τρόπο, ώστε να αποφεύγουν την ανίχνευση. Κωδικοποιούν δεδομένα σε μορφή Base64, χρησιμοποιούν reversed URLs και δεν αφήνουν αρχεία στο δίσκο, παρακάμπτοντας τα παραδοσιακά συστήματα ανίχνευσης. Επιπλέον, εισάγουν τα τελικά payloads σε νόμιμες διαδικασίες (για να αποφύγουν τα συστήματα ανίχνευσης συμπεριφοράς).
Σύμφωνα με τους ερευνητές, το persistence διασφαλίζεται μέσω τροποποιήσεων μητρώου και startup folder entries.
Η McAfee Labs έχει παράσχει δείκτες παραβίασης (IOC) για τις δύο νέες παραλλαγές του Remcos RAT, ώστε να βοηθήσει στον εντοπισμό απειλών.
«Καθώς αυτό το Trojan συνεχίζει να στοχεύει καταναλωτές μέσω phishing emails και κακόβουλων συνημμένων, η ανάγκη για προληπτικά μέτρα κυβερνοασφάλειας είναι πιο κρίσιμη από ποτέ», προειδοποίησε η McAfee.
«Κατανοώντας τις τακτικές που χρησιμοποιούν οι εγκληματίες του κυβερνοχώρου πίσω από το Remcos RAT και εφαρμόζοντας ισχυρές άμυνες, οι οργανισμοί μπορούν να προστατεύσουν καλύτερα τα συστήματα και τα ευαίσθητα δεδομένα τους».
Δείτε επίσης: Το ElizaRAT καταχράται τις υπηρεσίες Google, Telegram και Slack
Προστασία από RAT malware
Ο πρώτος και πιο σημαντικός τρόπος προστασίας από τα RAT malware είναι η εγκατάσταση ενός αξιόπιστου λογισμικού ασφαλείας. Το λογισμικό αυτό θα πρέπει να περιλαμβάνει προστασία από ιούς, spyware, malware και άλλες επιθέσεις, καθώς και τη δυνατότητα ανίχνευσης και απομάκρυνσης RAT (π.χ. Remcos).
Επιπλέον, είναι σημαντικό να διατηρείτε το λειτουργικό σύστημα και όλες τις εφαρμογές σας ενημερωμένες. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον υπολογιστή σας από τα τελευταία γνωστά RAT malware.
Επίσης, πρέπει να είστε προσεκτικοί με τα email και τα μηνύματα που λαμβάνετε. Πολλά RAT malware διαδίδονται μέσω επιθέσεων phishing, οπότε αποφεύγετε να ανοίγετε συνημμένα ή να κάνετε κλικ σε συνδέσμους από άγνωστες πηγές.
Δείτε επίσης: LodaRAT malware: Στοχεύει χρήστες Windows και κλέβει credentials
Η χρήση δυνατών κωδικών πρόσβασης και η αλλαγή τους τακτικά μπορεί, επίσης, να βοηθήσει στην προστασία από τις επιθέσεις RAT (π.χ. Remcos). Επίσης, η χρήση διπλής επαλήθευσης μπορεί να προσθέσει ένα επιπλέον επίπεδο ασφαλείας.
Τέλος, η εκπαίδευση στην ασφάλεια των πληροφοριών μπορεί να είναι ιδιαίτερα χρήσιμη. Η κατανόηση των τρόπων με τους οποίους τα RAT malware εισβάλλουν στο σύστημά σας και των τρόπων προστασίας από αυτά, μπορεί να σας βοηθήσει να παραμείνετε ασφαλείς.
Πηγή: www.infosecurity-magazine.com