Remcos - это вредоносная программа типа RAT, которую злоумышленники используют для удаленного выполнения действий на зараженных машинах. Эта вредоносная программа чрезвычайно активно обновляется: обновления выходят практически каждый месяц.
Что такое троян Remcos?
Remcos - это троян удаленного доступа - вредоносная программа, используемая для получения удаленного контроля над зараженными ПК. Он функционирует с 2016 года, когда впервые стал доступен для продажи в подпольных хакерских сообществах в темной паутине.
Remcos RAT получал значительные обновления на протяжении всего своего существования. Фактически, эта вредоносная программа поддерживается чрезвычайно активно, новые релизы выходят почти каждый месяц. В апреле 2019 года вредоносная программа была доступна для покупки по цене от чуть более 60 долларов до более 400 долларов в зависимости от выбранного пакета.
Общее описание трояна Remcos
Этот троян создан и продается клиентам "бизнесом" под названием Breaking Security. Хотя Breaking Security обещает, что программа доступна только тем, кто намерен использовать ее в легальных целях, в действительности Remcos RAT предоставляет клиентам все необходимые функции для запуска потенциально разрушительных атак. Вредоносное ПО можно приобрести за различные криптовалюты. Программа может удаленно контролировать ПК с любой ОС Windows, включая XP и более новые. Она также может делать скриншоты, записывать нажатия клавиш на зараженных машинах и отправлять собранную информацию на серверы.
Более того, он оснащен криптопрограммой, которая позволяет вредоносному ПО оставаться скрытым от антивирусных программ. Компания Breaking Security опубликовала на своем YouTube-канале видеоролик, демонстрирующий анализ того, как многочисленные антивирусы не обнаруживают присутствие Remcos. Кроме того, Breaking Security предоставляет злоумышленникам кейлоггер, который можно использовать для удаленной записи нажатий клавиш жертвы, программу массовой рассылки, которую можно использовать для проведения кампаний по распространению, и службу DynDNS с клиент-серверным подключением. Совокупность всех дополнительных услуг позволяет покупателям получить все необходимое для создания собственных функционирующих ботнетов.
Компания, ответственная за продажу Remcos RAT преступникам, зарегистрирована в Германии. Германия - единственная страна из всех членов Европейского союза, которая не позволяет искать информацию о компании в Интернете. Поэтому основатели Breaking Security до сих пор не установлены. Сам веб-сайт не предоставляет никакой информации о компании или команде, стоящей за Remcos. Доменное имя самого сайта размещено на Cloudflare, и вся информация, связанная с ним, защищена политикой конфиденциальности организации-хостера. Очевидно, что люди, стоящие за Breaking Security, приложили немало усилий, чтобы остаться анонимными.
Процесс выполнения трояна Remcos
Троян Remcos может поставляться в различных формах. Исходя из анализа RAT, он может распространяться как исполняемый файл с именем, которое должно убедить пользователя открыть его, или же он притворяется файлом Microsoft Word, который использует уязвимости для загрузки и выполнения основной полезной нагрузки, обфусцируя серверный компонент. В нашей имитации, после того как Remcos проделал путь к заражению устройства и начал процесс выполнения, он запустил выполнение VBS-сценария. Сценарий запускал командную строку и продолжал сбрасывать из нее исполняемый файл. Этот файл был основной полезной нагрузкой, и он выполнял основные вредоносные действия - кражу информации, изменение значения автозапуска в реестре и подключение к серверу C2.
Распространение Remcos
Несмотря на то, что Remcos RAT распространяется различными способами, поставляясь в комплекте с программами массовой рассылки, анализ показывает, что обычно Remcos RAT попадает на компьютеры жертв через вредоносные вложения в спам-рассылках. Злоумышленники обычно используют фишинговые методы, пытаясь обманом заставить пользователей загрузить вложенные файлы, обычно - зараженные файлы Microsoft Office. После загрузки файлы предлагают пользователям активировать макросы, необходимые для запуска Ramcos.
Злоумышленники, использующие этот троян, как известно, нацелены на конкретные организации и иногда идут на многое, создавая специальные фишинговые письма, чтобы обмануть своих жертв. Известно, что объектами атак Remcos становятся такие корпорации, как информационные агентства и предприятия, связанные с энергетической промышленностью.
Если жертва все-таки активирует макросы, они восстанавливают небольшой исполняемый файл, который затем сбрасывается в заранее указанное место и запускается оттуда. Затем этот файл загружает основную полезную нагрузку, которой является сам Remcos, с управляющего сервера и начинает процесс выполнения. Хотя местоположение может варьироваться от образца к образцу, оно обычно включает одно из следующих мест, типичных для создателей вредоносного ПО: %APPDATA% и %TEMP%.
Заключение
Remcos RAT - опасный троян, доступный злоумышленникам по относительно низкой цене. Несмотря на свою доступность, он оснащен достаточно мощными функциями, позволяющими злоумышленникам создавать собственные эффективные ботнеты. Более того, он модернизируется благодаря обновлениям, которые компания-владелец выпускает почти каждый месяц. Доступность и мощный набор функций помогли превратить Ramcos в мощный и опасный троян.