Remcos 恶意软件 (Remcos RAT) 伪装成工资单进行分发

2023年 10月 30日 73.3k 0

AhnLab 安全紧急响应中心 (ASEC) 发现通过电子邮件伪装成工资单的 Remcos 远程控制恶意软件的传播。

已确认的 Remcos RAT 恶意软件是通过电子邮件主题行“这是工资转移确认证书”欺骗收件人来分发的,如图 1 所示。在附加的cab压缩文件中,附加了一个伪装成PDF文件图标的EXE文件(Remcos RAT),如图2所示。

【图1】钓鱼邮件正文

【图2】附带的cab压缩文件内的Remcos RAT(.exe)

如图3所示,Remcos RAT恶意软件能够进行恶意远程控制,例如键盘记录、屏幕截图、网络摄像头和麦克风控制,以及已安装系统上存在的网络浏览器的历史记录和密码提取功能,按照攻击者的命令去做。

由于执行远程控制功能的 Ramcos RAT 恶意软件的性质,它具有在从攻击者服务器 (C2) 收到命令之前不会执行任何恶意操作的特性。然而,也可以通过沙箱设备通过离线键盘记录器的键盘记录行为进行检测,该行为在感染发生的同时启动,无需来自 C2 的命令。

【图3】Remcos远程控制服务器的各种控制功能(Remcos v2.6.0)

[图4]是Remcos RAT的离线键盘记录功能,无需C2命令即可运行。具体来说,如图5所示,使用SetWindowHookExA API安装一个钩子过程,通过WH_KEYBOARD_LL参数监视键盘输入事件。

【图4】Remcos RAT的离线键盘记录功能

【图5】Remcos RAT键盘输入挂钩代码(SetWindowsHookExA)

【MDS产品检测】

[图6]是AhnLab MDS在沙箱环境中检测上述Remcos RAT的离线键盘记录功能的屏幕。如图7所示,可以确认检测到了hook键盘输入的恶意行为。

【图6】使用AhnLab MDS的Remcos RAT恶意软件检测屏幕(1)

【图7】使用AhnLab MDS的Remcos RAT恶意软件检测屏幕(2)

RAT 恶意软件通过攻击者的命令执行重大恶意操作。因此,只有通过与服务器的通信执行攻击者的命令,才能识别感染。因此,除了使用MDS等APT解决方案外,安全人员还需要通过EDR等产品监控端点发生的异常行为,为企业安全事件做好准备,并在发生违规事件时快速响应。

IOC

[MD5]

– 1e378b5dc586175e1b5e5931b8727ae3 (Remcos RAT v3.8.0 Pro)

[文件检测]

– Trojan/Win.Generic.R611702 (2023.10.14.00)

[行为检测]

– SystemManipulation/MDP.Hooking.M10055
– Execution/MDP.Remcos.M11099
– DefenseEvasion/MDP.AntiAnalysis.M912

转载来源:https://asec.ahnlab.com/ko/58004/

图片来源网络目标可联系删除

相关文章

Mallox勒索软件新Linux变种现世
伪装成破解程序和商业工具的新型恶意软件正在传播
Orcinius后门新样本分析
Poseidon窃取程序通过Google广告感染Mac用户
大选开始之际,欧盟各政党遭受 DDoS 攻击
微软2024

发布评论