CYBER NEWS

Remcos RAT v1.3.7 facendo giri nel selvaggio, I ricercatori dicono

E 'stato un po' dall'ultima volta che abbiamo scritto su attacchi di Rat-correlati. Tuttavia, questo sta per cambiare come а nuova RAT, Remcos, è stato rilevato venduti sul forum underground. Prima notato nella seconda metà del 2016, lo strumento dannoso è stato aggiornato e sono state aggiunte nuove funzionalità.

Immagine: Fortinet

Il suo primo carico utile è stato da poco distribuito in natura, come rivelato dai ricercatori Fortinet. L'ultima versione di Remcos è v1.7.3, e viene venduto per $58-$389, a seconda del periodo di licenza e il numero massimo di padroni e clienti necessario, dicono i ricercatori.

Correlata: Multi-Purpose attacchi AlienSpy RAT 400,000 Le vittime internazionali

Remcos RAT 2017 attacchi

Fortinet dice che ha scoperto il RAT viene distribuito con l'aiuto di documenti dannosi di Microsoft Office contenenti macro (i nomi dei file o Quotation.xls Quotation.doc). La struttura dei documenti mostra una macro documento dannoso specificamente realizzati per bypassare la sicurezza UAC di Microsoft Windows '. Come risultato malware viene eseguito con privilegi elevati.

La macro contenute all'interno dei documenti è offuscato. Offuscamento è fatto con l'aggiunta di caratteri illeggibili per la stringa effettiva. La macro esegue un comando di shell che scarica ed esegue il particolare del malware.

Per eseguire il malware scaricato con alto privilegio di sistema, si utilizza una tecnica già nota UAC-bypass. Si tenta di eseguire sotto Visualizzatore eventi di Microsoft (eventvwr.exe) dal dirottamento di un registro (HKCU Software Classes mscfile open command shell ) che si interroga per trovare il percorso della Microsoft Management Console (mmc.exe). Il Visualizzatore eventi esegue semplicemente tutto ciò che è in quel percorso. Dal comando di shell della macro sostituisce il valore da questa voce di registro alla posizione del del malware, il malware viene eseguito al posto del mmc.exe legittima.

Correlata: Offuscamento in Malware - la chiave per una infezione di successo

Il Remcos RAT utilizza solo UPX e MPRESS1 Packers per comprimere e offuscare la sua componente server. Tuttavia il campione analizzato da Fortiner rivelato un packer supplementare, uno personalizzato, sulla parte superiore del MPRESS1. No offuscamento aggiuntivo è stato trovato. Per quanto riguarda il componente server, è stata creata usando l'ultima Remcos v1.7.3 Pro variante, rilasciato a gennaio 23, 2017.

Per una completa informativa tecnica, rimanda alla Gazzetta analisi.

Milena Dimitrova

Milena Dimitrova

Uno scrittore ispirato e gestore di contenuti che è stato con SensorsTechForum fin dall'inizio. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Termine è esaurito. Ricarica CAPTCHA.

Rimanete sintonizzati
Iscriviti alla nostra newsletter per quanto riguarda le ultime sicurezza informatica e notizie di tecnologia legate.