Tem sido um tempo desde a última vez que escrevi sobre ataques Rato-relacionado. Contudo, isso está prestes a mudar como novo RAT а, Remco, Foi detectado que estão sendo vendidos em fóruns clandestinos. Notado pela primeira vez na segunda metade de 2016, a ferramenta malicioso foi agora actualizado e novas funcionalidades foram adicionadas.
Imagem: Fortinet
Sua primeira carga foi recentemente distribuído na natureza, como revelado por pesquisadores da Fortinet. A última versão do Remcos é v1.7.3, e que está a ser vendido para $58-$389, dependendo do período de licença e o número máximo de mestres e clientes necessários, pesquisadores dizem.
relacionado: Multi-Purpose Ataques AlienSpy RAT 400,000 Vítimas internacionais
Remcos RAT 2017 ataques
Fortinet diz que descobriu o RAT sendo distribuído com a ajuda de maliciosos documentos do Microsoft Office que contêm macros (nomes Quotation.xls ou Quotation.doc). A estrutura dos documentos mostra um macro documento malicioso feitos especificamente para burlar a segurança UAC Microsoft Windows’. Como resultado malware é executado com alto privilégio.
A macro contido dentro dos documentos é ofuscado. Ofuscação é feito adicionando caracteres de lixo para a seqüência real. A macro executa um comando shell que baixa e executa o malware em particular.
Para executar o malware baixado com privilégio de sistema de alta, que utiliza uma técnica de UAC bypass já conhecido. Ele tenta executá-lo sob o Visualizador de eventos da Microsoft (eventvwr.exe) sequestrando um registo ( Command HKCU Software Classes mscfile shell open ) que ele consulta para encontrar o caminho do Microsoft Management Console (mmc.exe). O Visualizador de eventos simplesmente executa o que está nesse caminho. Desde comando shell do macro substitui o valor de que a entrada do Registro para a localização do de malwares, o malware é executado em vez do mmc.exe legítima.
relacionado: Ofuscação em Malware - a chave para uma contaminação
O Remcos RAT só usa UPX e MPRESS1 packers para comprimir e ofuscar a sua componente de servidor. No entanto, a amostra analisada por Fortiner revelou um empacotador adicional, um costume, no topo de MPRESS1. Sem ofuscamento adicional foi encontrado. Quanto ao componente de servidor, ele foi criado usando as últimas Remcos v1.7.3 Pro variante, lançado em janeiro 23, 2017.
Para divulgação técnico completo, referem-se ao oficial análise.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: