Es ist schon eine Weile her, dass wir über RAT-bezogene Angriffe schrieb. Jedoch, Das ist etwa so а neue RAT zu ändern, Remcos, wurde auf U-Bahn-Foren verkauft entdeckt zu werden. Zuerst bemerkte in der zweiten Hälfte des 2016, das bösartige Tool wurde jetzt aktualisiert und neue Funktionen hinzugefügt wurden.
Bild: FortiNet
Seine erste Nutzlast wurde erst vor kurzem in der Wildnis verteilt, wie von FortiNet Forscher ergab,. Die neueste Version von Remcos ist v1.7.3, und es wird verkauft für $58-$389, abhängig von der Lizenzlaufzeit und die maximale Anzahl der Master und Clients benötigt, Forscher sagen,.
verbunden: Multi-Purpose AlienSpy RAT Angriffe 400,000 Internationale Opfer
Remcos RAT 2017 Anschläge
Fortinet sagt es die Ratte entdeckt mit Hilfe von Schad Microsoft Office-Dokumente verteilt werden die Makros enthalten (Dateinamen Quotation.xls oder Quotation.doc). Die Struktur der Dokumente zeigt ein bösartiges Dokument Makro, die speziell von Microsoft Windows UAC Sicherheit zu umgehen. Als Ergebnis von Malware ist mit hohen Privilegien ausgeführt.
Das Makro innerhalb der Dokumente enthalten ist verschleiert. Verschleierung wird durch Zugabe von unbrauchbaren Zeichen an die tatsächliche Zeichenfolge getan. Das Makro führt einen Shell-Befehl, die Downloads und führt die bestimmte Malware.
Um die heruntergeladene Malware mit hoher Systemberechtigung ausführen, es nutzt eine bereits UAC-Bypass-Technik bekannt. Es wird versucht, unter Microsofts Ereignisanzeige ausführen (eventvwr.exe) durch einen Registry-Hijacking (HKCU Software Classes mscfile shell open command ) dass es fragt den Pfad der Microsoft Management Console zu finden (mmc.exe). Die Ereignisanzeige führt einfach alles, was in diesem Pfad ist. Da die Shell-Befehl des Makros ersetzt den Wert von dieser Registrierungseintrag auf den Standort des Malware, die Malware wird anstelle des legitimen mmc.exe ausgeführt.
verbunden: Obfuscation in Malware - der Schlüssel für eine erfolgreiche Infektion
Die Remcos RAT verwendet nur UPX und MPRESS1 Packer seine Serverkomponente zu komprimieren und zu verschleiern. Doch die von Fortiner analysierte Probe zeigte einen zusätzlichen Packer, ein Brauch ein, oben auf MPRESS1. Keine zusätzliche Verschleierung wurde gefunden. Wie für die Server-Komponente, es wurde mit der neuesten Remcos v1.7.3 Pro-Variante erstellt, veröffentlicht am Januar 23, 2017.
Für die vollständigen technischen Informationen, beziehen sich auf den offiziellen Analyse.