Центр экстренного реагирования AhnLab Security (ASEC) обнаружил случаи распространения вредоносной программы Remcos remote control через электронное письмо, замаскированное под платежную квитанцию.
Выявленная Remcos RAT распространялась под темой письма, которая гласила "This is a confirmation document for your payment transfer", вводя читателей в заблуждение. Прилагаемый сжатый cab-файл содержит EXE-файл (Remcos RAT), замаскированный под значок PDF-файла.
Remcos RAT может не только осуществлять кейлоггинг, захват скриншотов, управление веб-камерами и микрофонами по командам угрожающего агента, но и осуществлять вредоносное удаленное управление, например, извлекать истории и пароли, сохраненные в веб-браузерах в системе, в которую он установлен.
Поскольку Remcos RAT предназначена для удаленного управления, она не проявляет никаких вредоносных действий до тех пор, пока не получит команды от сервера угрожающего агента (C2). Однако благодаря поведению автономного кейлоггера, который запускается сразу после заражения без каких-либо команд от C2, он может быть обнаружен с помощью устройств "песочницы".
Remcos RAT использует API SetWindowHookExA и устанавливает процедуру hook, которая отслеживает события ввода с клавиатуры через аргумент WH_KEYBOARD_LL, которые выполняются без какой-либо команды со стороны C2
Вредоносные программы RAT выполняют ключевые вредоносные действия по командам угрожающего агента. Поэтому, как правило, о таких заражениях сложно узнать до тех пор, пока команды агента угроз не будут выполнены через коммуникации с сервером.
Indicators of Compromise
MD5
- 1e378b5dc586175e1b5e5931b8727ae3
