Il a été un moment depuis notre dernière lettre à propos des attaques liées à RAT-. Cependant, cela est sur le point de changer nouvelle RAT comme а, Remcos, a été détecté vendu sur les forums souterrains. Tout d'abord remarqué dans la seconde moitié de 2016, l'outil malveillant a été mis à jour et de nouvelles fonctionnalités ont été ajoutées.
Image: FortiNet
Sa première charge utile a été récemment distribué à l'état sauvage, comme l'a révélé par des chercheurs FORTINET. La dernière version de Remcos est v1.7.3, et il est vendu pour $58-$389, en fonction de la durée de la licence et le nombre maximum de maîtres et des clients nécessaires, les chercheurs disent.
en relation: Multi-Purpose AlienSpy RAT Attaques 400,000 Les victimes internationales
Remcos RAT 2017 attaques
Fortinet dit qu'il a découvert le RAT être distribué avec l'aide de documents Microsoft Office malveillants contenant des macros (les noms de fichiers Quotation.xls ou Quotation.doc). La structure des documents montre un document macro malveillant spécialement conçu pour contourner la sécurité UAC Microsoft Windows. En conséquence malware est exécuté avec des privilèges élevés.
La macro contenue dans les documents sont brouillées. Obfuscation est fait en ajoutant des caractères de mémoire à la chaîne réelle. La macro exécute une commande shell qui télécharge et exécute le malware particulier.
Pour exécuter le malware téléchargé avec privilège système haute, il utilise une technique UAC-bypass déjà connu. Il tente de l'exécuter dans l'Observateur d'événements de Microsoft (eventvwr.exe) en détournant un registre (HKCU Software Classes mscfile shell open command ) qu'il interroge pour trouver le chemin de Microsoft Management Console (mmc.exe). L'Observateur d'événements exécute simplement ce qui est dans ce chemin. Depuis la commande shell de la macro remplace la valeur de cette entrée de registre à l'emplacement de l'malware, le malware est exécuté à la place de l'mmc.exe légitime.
en relation: Obfuscation dans Malware - la clé d'une infection réussie
Le Remcos RAT utilise uniquement UPX et MPRESS1 emballeurs pour compresser et masquer son composant serveur. Toutefois, l'échantillon analysé par Fortiner révélé un packer supplémentaire, une seule mesure, sur le dessus de MPRESS1. Aucune n'a été trouvée supplémentaire obscurcissement. En ce qui concerne le composant de serveur, il a été créé en utilisant la dernière v1.7.3 Remcos Pro variante, publié en Janvier 23, 2017.
Pour information technique complète, reportez-vous au fonctionnaire une analyse.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: