Het is alweer een tijdje geleden dat we voor het laatst schreef over-RAT-gerelateerde aanvallen. Echter, dit is ongeveer zo а nieuwe RAT veranderen, RemcoS, werd op ondergrondse forums verkocht. Eerst opgemerkt in de tweede helft van 2016, de kwaadaardige instrument is nu geactualiseerd en nieuwe functies zijn toegevoegd.
Beeld: Fortinet
De eerste lading is onlangs verspreid in het wild, zoals blijkt uit Fortinet onderzoekers. De nieuwste versie van RemcoS is v1.7.3, en het wordt verkocht $58-$389, afhankelijk van de licentieperiode en het maximale aantal van de masters en klanten nodig, onderzoekers zeggen.
Verwant: Multi-Purpose AlienSpy RAT Attacks 400,000 International Slachtoffers
RemcoS RAT 2017 Aanvallen
Fortinet zegt dat het ontdekte de RAT wordt verspreid met de hulp van schadelijke Microsoft Office-documenten met macro's (bestandsnamen Quotation.xls of Quotation.doc). De structuur van de documenten toont een kwaadaardig document macro speciaal gemaakt om UAC beveiliging Microsoft Windows 'te omzeilen. Als gevolg van malware wordt uitgevoerd met een hoge privilege.
De macro vervat in de documenten wordt verduisterd. Vertroebeling wordt gedaan door vuilnis tekens in de string. De macro voert een shell commando dat downloads en loopt de specifieke malware.
Om de gedownloade malware met een hoge systeem privilege uit te voeren, het maakt gebruik van een reeds bekende UAC-bypass techniek. Het probeert het uit te voeren in het kader van Microsoft's Event Viewer (eventvwr.exe) door het kapen van een register (HKCU Software Classes mscfile shell geopend command ) dat vraagt om het pad van de Microsoft Management Console vinden (mmc.exe). De Event Viewer gewoon uitvoert wat in dat pad. Aangezien de macro's shell command vervangt de waarde van dat register de toegang tot de locatie van de malware's, de malware wordt uitgevoerd in plaats van de legitieme mmc.exe.
Verwant: Verduistering in Malware - de sleutel tot een succesvolle infectie
De RemcoS RAT maakt alleen gebruik van UPX en MPRESS1 verpakkers voor het comprimeren en verdoezelen de server component. Maar het monster door Fortiner geanalyseerd onthulde een extra packer, een aangepaste, op de top van MPRESS1. Geen extra verduistering werd gevonden. Wat betreft de servercomponent, het is gemaakt met behulp van de nieuwste RemcoS v1.7.3 Pro variant, uitgebracht op januari 23, 2017.
Voor de volledige technische openbaarmaking, verwijzen naar de officiële analyse.