Ha sido un tiempo desde la última vez que escribimos sobre ataques relacionados con ratas. Sin embargo, esto está a punto de cambiar nueva rata como а, Remcos, Se ha detectado que se venden en los foros subterráneos. En primer lugar notado en la segunda mitad del 2016, la herramienta maliciosa ahora se ha actualizado y se han añadido nuevas características.
Imagen: Fortinet
Su primera carga útil se distribuyó recientemente en la naturaleza, según lo revelado por los investigadores Fortinet. La última versión de Remcos es v1.7.3, y está siendo vendido por $58-$389, dependiendo de la duración de la licencia y el número máximo de maestros y clientes necesarios, los investigadores dicen.
Relacionado: De usos múltiples ataques AlienSpy RAT 400,000 Las víctimas internacionales
Remcos RAT 2017 ataques
Fortinet dice que descubrió el RAT siendo distribuido con la ayuda de maliciosos documentos de Microsoft Office que contienen macros (los nombres de archivo o Quotation.xls Quotation.doc). La estructura de los documentos muestra una macro documento maliciosa hecha específicamente para burlar la seguridad de UAC de Windows de Microsoft. Como resultado de malware se ejecuta con alto privilegio.
La macro contenida en los documentos se ofusca. La ofuscación se realiza mediante la adición de caracteres de elementos a la cadena real. La macro ejecuta un comando de shell que descarga y ejecuta el malware en particular.
Para ejecutar el programa malicioso descargado con gran privilegio del sistema, que utiliza una técnica de bypass UAC-ya conocida. Se intenta ejecutar en los términos de Visor de sucesos de Microsoft (eventvwr.exe) mediante el secuestro de un registro (HKCU Software Classes mscfile shell open command ) que consulta para encontrar el camino de la Consola de administración de Microsoft (mmc.exe). El Visor de sucesos simplemente ejecuta lo que está en ese camino. Desde comando shell de la macro reemplaza el valor de esa entrada del registro para la ubicación del software malicioso, el malware se ejecuta en lugar del legítimo mmc.exe.
Relacionado: La ofuscación de Malware - la clave para un éxito de la infección
El Remcos RAT sólo utiliza UPX y MPRESS1 empaquetadores para comprimir y ofuscar su componente de servidor. Sin embargo, la muestra analizada por Fortiner reveló un programa de compresión adicional, una costumbre, en la parte superior de MPRESS1. No se encontró la ofuscación adicional. En cuanto a la componente de servidor, que fue creado utilizando la última variante Pro v1.7.3 Remcos, lanzado en Enero 23, 2017.
Para una descripción técnica completa, consulte el funcionario análisis.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: