CYBER NEWS

RemcoS RAT v1.3.7 maken Rondes in the Wild, onderzoekers zeggen

Het is alweer een tijdje geleden dat we voor het laatst schreef over-RAT-gerelateerde aanvallen. Echter, dit is ongeveer zo а nieuwe RAT veranderen, RemcoS, werd op ondergrondse forums verkocht. Eerst opgemerkt in de tweede helft van 2016, de kwaadaardige instrument is nu geactualiseerd en nieuwe functies zijn toegevoegd.

Beeld: Fortinet

De eerste lading is onlangs verspreid in het wild, zoals blijkt uit Fortinet onderzoekers. De nieuwste versie van RemcoS is v1.7.3, en het wordt verkocht $58-$389, afhankelijk van de licentieperiode en het maximale aantal van de masters en klanten nodig, onderzoekers zeggen.

Verwant: Multi-Purpose AlienSpy RAT Attacks 400,000 International Slachtoffers

RemcoS RAT 2017 Aanvallen

Fortinet zegt dat het ontdekte de RAT wordt verspreid met de hulp van schadelijke Microsoft Office-documenten met macro's (bestandsnamen Quotation.xls of Quotation.doc). De structuur van de documenten toont een kwaadaardig document macro speciaal gemaakt om UAC beveiliging Microsoft Windows 'te omzeilen. Als gevolg van malware wordt uitgevoerd met een hoge privilege.

De macro vervat in de documenten wordt verduisterd. Vertroebeling wordt gedaan door vuilnis tekens in de string. De macro voert een shell commando dat downloads en loopt de specifieke malware.

Om de gedownloade malware met een hoge systeem privilege uit te voeren, het maakt gebruik van een reeds bekende UAC-bypass techniek. Het probeert het uit te voeren in het kader van Microsoft's Event Viewer (eventvwr.exe) door het kapen van een register (HKCU Software Classes mscfile shell geopend command ) dat vraagt ​​om het pad van de Microsoft Management Console vinden (mmc.exe). De Event Viewer gewoon uitvoert wat in dat pad. Aangezien de macro's shell command vervangt de waarde van dat register de toegang tot de locatie van de malware's, de malware wordt uitgevoerd in plaats van de legitieme mmc.exe.

Verwant: Verduistering in Malware - de sleutel tot een succesvolle infectie

De RemcoS RAT maakt alleen gebruik van UPX en MPRESS1 verpakkers voor het comprimeren en verdoezelen de server component. Maar het monster door Fortiner geanalyseerd onthulde een extra packer, een aangepaste, op de top van MPRESS1. Geen extra verduistering werd gevonden. Wat betreft de servercomponent, het is gemaakt met behulp van de nieuwste RemcoS v1.7.3 Pro variant, uitgebracht op januari 23, 2017.

Voor de volledige technische openbaarmaking, verwijzen naar de officiële analyse.

Milena Dimitrova

Milena Dimitrova

Een geïnspireerde schrijver en content manager die heeft met SensorsTechForum sinds het begin. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Termijn is uitgeput. Laad CAPTCHA.

Blijf kijken
Schrijf u in voor onze nieuwsbrief over de nieuwste cyberveiligheid en-tech gerelateerd nieuws.