E 'stato un po' dall'ultima volta che abbiamo scritto su attacchi di Rat-correlati. Tuttavia, questo sta per cambiare come а nuova RAT, Remcos, è stato rilevato venduti sul forum underground. Prima notato nella seconda metà del 2016, lo strumento dannoso è stato aggiornato e sono state aggiunte nuove funzionalità.
Immagine: Fortinet
Il suo primo carico utile è stato da poco distribuito in natura, come rivelato dai ricercatori Fortinet. L'ultima versione di Remcos è v1.7.3, e viene venduto per $58-$389, a seconda del periodo di licenza e il numero massimo di padroni e clienti necessario, dicono i ricercatori.
Correlata: Multi-Purpose attacchi AlienSpy RAT 400,000 Le vittime internazionali
Remcos RAT 2017 attacchi
Fortinet dice che ha scoperto il RAT viene distribuito con l'aiuto di documenti dannosi di Microsoft Office contenenti macro (i nomi dei file o Quotation.xls Quotation.doc). La struttura dei documenti mostra una macro documento dannoso specificamente realizzati per bypassare la sicurezza UAC di Microsoft Windows '. Come risultato malware viene eseguito con privilegi elevati.
La macro contenute all'interno dei documenti è offuscato. Offuscamento è fatto con l'aggiunta di caratteri illeggibili per la stringa effettiva. La macro esegue un comando di shell che scarica ed esegue il particolare del malware.
Per eseguire il malware scaricato con alto privilegio di sistema, si utilizza una tecnica già nota UAC-bypass. Si tenta di eseguire sotto Visualizzatore eventi di Microsoft (eventvwr.exe) dal dirottamento di un registro (HKCU Software Classes mscfile open command shell ) che si interroga per trovare il percorso della Microsoft Management Console (mmc.exe). Il Visualizzatore eventi esegue semplicemente tutto ciò che è in quel percorso. Dal comando di shell della macro sostituisce il valore da questa voce di registro alla posizione del del malware, il malware viene eseguito al posto del mmc.exe legittima.
Correlata: Offuscamento in Malware - la chiave per una infezione di successo
Il Remcos RAT utilizza solo UPX e MPRESS1 Packers per comprimere e offuscare la sua componente server. Tuttavia il campione analizzato da Fortiner rivelato un packer supplementare, uno personalizzato, sulla parte superiore del MPRESS1. No offuscamento aggiuntivo è stato trovato. Per quanto riguarda il componente server, è stata creata usando l'ultima Remcos v1.7.3 Pro variante, rilasciato a gennaio 23, 2017.
Per una completa informativa tecnica, rimanda alla Gazzetta analisi.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: