Remcos RAT v1.3.7 Haciendo Rondas en el salvaje, Los investigadores dicen
NOTICIAS

Remcos RAT v1.3.7 Haciendo Rondas en el salvaje, Los investigadores dicen

Ha sido un tiempo desde la última vez que escribimos sobre ataques relacionados con ratas. Sin embargo, esto está a punto de cambiar nueva rata como а, Remcos, Se ha detectado que se venden en los foros subterráneos. En primer lugar notado en la segunda mitad del 2016, la herramienta maliciosa ahora se ha actualizado y se han añadido nuevas características.

Imagen: Fortinet

Su primera carga útil se distribuyó recientemente en la naturaleza, según lo revelado por los investigadores Fortinet. La última versión de Remcos es v1.7.3, y está siendo vendido por $58-$389, dependiendo de la duración de la licencia y el número máximo de maestros y clientes necesarios, los investigadores dicen.

Relacionado: De usos múltiples ataques AlienSpy RAT 400,000 Las víctimas internacionales

Remcos RAT 2017 ataques

Fortinet dice que descubrió el RAT siendo distribuido con la ayuda de maliciosos documentos de Microsoft Office que contienen macros (los nombres de archivo o Quotation.xls Quotation.doc). La estructura de los documentos muestra una macro documento maliciosa hecha específicamente para burlar la seguridad de UAC de Windows de Microsoft. Como resultado de malware se ejecuta con alto privilegio.

La macro contenida en los documentos se ofusca. La ofuscación se realiza mediante la adición de caracteres de elementos a la cadena real. La macro ejecuta un comando de shell que descarga y ejecuta el malware en particular.

Para ejecutar el programa malicioso descargado con gran privilegio del sistema, que utiliza una técnica de bypass UAC-ya conocida. Se intenta ejecutar en los términos de Visor de sucesos de Microsoft (eventvwr.exe) mediante el secuestro de un registro (HKCU Software Classes mscfile shell open command ) que consulta para encontrar el camino de la Consola de administración de Microsoft (mmc.exe). El Visor de sucesos simplemente ejecuta lo que está en ese camino. Desde comando shell de la macro reemplaza el valor de esa entrada del registro para la ubicación del software malicioso, el malware se ejecuta en lugar del legítimo mmc.exe.

Relacionado: La ofuscación de Malware - la clave para un éxito de la infección

El Remcos RAT sólo utiliza UPX y MPRESS1 empaquetadores para comprimir y ofuscar su componente de servidor. Sin embargo, la muestra analizada por Fortiner reveló un programa de compresión adicional, una costumbre, en la parte superior de MPRESS1. No se encontró la ofuscación adicional. En cuanto a la componente de servidor, que fue creado utilizando la última variante Pro v1.7.3 Remcos, lanzado en Enero 23, 2017.

Para una descripción técnica completa, consulte el funcionario análisis.

Milena Dimitrova

Un escritor inspirado y gestor de contenidos que ha estado con SensorsTechForum de 4 año. Disfruta ‘Sr.. Robot’y miedos‘1984’. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos!

Más Mensajes

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Se agotó el tiempo límite. Vuelve a cargar de CAPTCHA.

Compartir en Facebook Compartir
Cargando ...
Compartir en Twitter Pío
Cargando ...
Compartir en Google Plus Compartir
Cargando ...
Compartir en Linkedin Compartir
Cargando ...
Compartir en Digg Compartir
Compartir en Reddit Compartir
Cargando ...
Compartir en Stumbleupon Compartir
Cargando ...