- Recientemente se detectó una nueva campaña de phishing, donde se distribuía un archivo Excel
- El archivo coloca una copia sin archivo de Remcos RAT en el dispositivo
- Remcos puede robar archivos confidenciales, claves de registro y más
Se ha visto a piratas informáticos distribuyendo una versión sin archivos del troyano de acceso remoto Remcos (RAT), que luego utilizan para robar información confidencial de dispositivos específicos mediante software comprometido. software de hoja de cálculo.
En un análisis técnico, los investigadores de Fortinet dijeron que observaron que los actores de amenazas enviaban correos electrónicos de phishing que contenían el asunto habitual de la orden de compra. Adjunto al correo electrónico A microsoft Archivo de Excel, diseñado para explotar una vulnerabilidad de ejecución remota de código en Office (CVE-2017-0199). Cuando se ejecute, el archivo descargará un archivo de aplicación HTML (HTA) desde un servidor remoto y lo ejecutará a través de mshta.exe.
El archivo descargado extraerá una segunda carga útil del mismo servidor, que ejecutará el análisis inicial y la antidepuración, después de lo cual se descargará y ejecutará Remcos RAT.
Rimkus regresa
Por su parte, Remcos no siempre fue tomada en cuenta malware. Está diseñado como software empresarial legítimo utilizado para tareas de administración remota. Sin embargo, ha sido secuestrado por ciberdelincuentes, al igual que Cobalt Strike, y hoy en día se utiliza principalmente para acceso no autorizado, robo de datos y espionaje. Remcos puede registrar pulsaciones de teclas, tomar capturas de pantalla y ejecutar comandos en sistemas infectados.
Pero esta versión de Remcos se coloca directamente en la memoria de la máquina: “En lugar de guardar el archivo Remcos en un archivo local y ejecutarlo, implementa Remcos directamente en la memoria del proceso actual”, explica Fortinet. “En otras palabras, es una versión sin archivos de Remcos”.
Phishing trans Correo electrónico Sigue siendo uno de los métodos más comunes utilizados por los ciberdelincuentes para infectar dispositivos con malware y robar información confidencial. Es barato de implementar y funciona bien, lo que lo convierte en un vector de ataque muy eficiente. La mejor manera de defenderse contra el phishing es usar el sentido común al leer correos electrónicos y tener mucho cuidado al descargar y ejecutar archivos adjuntos.