Malware Remcos

O que é Remcos?

O Remcos (abreviação de Remote Control and Surveillance) é um aplicativo comercial de administração de sistemas para o XP e versões mais recentes do Windows que foi transformado em arma pelos agentes de ameaças. O Remcos é um aplicativo de código fechado projetado para manutenção de redes, monitoramento de sistemas, vigilância e testes de penetração, mas os invasores o utilizam para explorar remotamente os sistemas-alvo. Embora o fornecedor Breaking Security afirme que o Remcos é uma ferramenta de segurança legítima, ele foi classificado como malware pela CISA e incluído em sua lista das principais linhagens de malware de 2021.

Os recursos mal-intencionados do Remcos são quase ilimitados devido ao seu conjunto de recursos robusto e à capacidade de manter o controle remoto persistente e altamente privilegiado do sistema da vítima. Ele é comumente usado para roubar credenciais, para conexões de Internet man-in-the-middle (MiTM) e para orquestrar botnets zumbis que podem lançar ataques sincronizados de negação de serviço distribuído (DDoS). Ele foi lançado pela primeira vez em 2016 e é vendido por £58-389 (US$ 66-439), dependendo do número de licenças e recursos incluídos.

Últimas notícias da Remcos

Como a Remcos funciona

A Remcos é distribuída por meio de campanhas de phishing por e-mail que tentam induzir os alvos a abrir documentos maliciosos do Microsoft Office usando táticas de engenharia social, como spam relacionado à COVID. Se um alvo abrir o documento anexado e habilitar macros, o stager do Remcos pode contornar o Controle de Conta de Usuário do Microsoft Windows, sequestrando o Registro do Windows para executar a carga útil primária do Remcos com privilégios de sistema de alto nível. Para manter o acesso persistente a um sistema comprometido, o Remcos adiciona uma chave AutoStart do Registro do Windows para executar o malware assim que o sistema infectado for reiniciado.

O Remcos é um aplicativo baseado no Windows, escrito em C++ e Delphi. Ele é capaz de criar scripts remotos multithread para exploração de alto desempenho. Ele tem várias opções de acesso remoto, como acesso ao shell de comando, interface do gerenciador de serviços, proxy remoto SOCKS5 e uma GUI de administrador fácil de usar. 

O Remcos usa um protocolo personalizado baseado em TCP para estabelecer conexões criptografadas e keepalive para manter sua conexão de comando e controle (C2) em redes instáveis. Essas ferramentas eficientes e robustas fazem do Remcos o malware preferido para manter botnets zumbis e fazer proxy do tráfego da Internet em hosts comprometidos.

Sinais de um ataque de Remcos

Como o Remcos é um aplicativo de software proprietário pré-compilado, ele produz assinaturas de hash confiáveis. Isso significa que a carga útil principal do Remcos pode ser detectada pela maioria dos scanners de malware quando entra na rede ou no ambiente do host de destino em um formato não criptografado ou na execução, se entrar na rede em um formato criptografado. 

Outros indicadores de comprometimento (IOCs) associados à Remcos

  • Um computador congela com frequência, sua ventoinha está constantemente ligada ou, em geral, ele opera com respostas atrasadas
  • As janelas de aplicativos abrem sozinhas sem a interação do usuário
  • Pop-ups de malvertising fora do lugar aparecem durante a navegação na Internet
  • Os URLs redirecionam os usuários para sites falsos que oferecem ofertas atraentes, como iPhones ou iPads gratuitos

Como evitar um ataque de Remcos

A prevenção de um ataque da Remcos requer uma combinação de várias táticas defensivas importantes, incluindo:

  • Instalação e configuração de um produto avançado de segurança de endpoint em todos os dispositivos para reconhecer o Remcos quando ele entra na rede e impedir sua execução.
  • Garantir que um filtro de spam de e-mail eficaz e atualizado esteja em uso para evitar que os ataques de primeiro estágio da Remcos cheguem à caixa de entrada em primeiro lugar
  • Fornecer treinamento de conscientização do usuário ao pessoal para diminuir a probabilidade de ataques bem-sucedidos de engenharia social e phishing.

Mais maneiras de evitar um ataque bem-sucedido da Remcos

  • Use um produto de segurança de filtragem de spam para identificar anexos de phishing Remcos de primeiro estágio e evitar que eles cheguem à caixa de entrada
  • Instale e configure produtos avançados de segurança de endpoint para detectar a carga útil primária do Remcos quando ela entra na rede ou antes de ser executada
  • Considere o treinamento de conscientização do usuário para instruir o pessoal sobre técnicas de phishing; desenvolva procedimentos operacionais padrão (SOPs) para lidar com e-mails e documentos suspeitos.
  • Configure os clientes de e-mail para notificar os usuários quando os e-mails forem originados de fora da organização
  • Reconhecer o risco maior que os arquivos de origem desconhecida apresentam e verificar o contexto de tais documentos cuidadosamente antes de abri-los
  • Certifique-se de que os aplicativos do Office estejam configurados com Desativar todas as macros sem notificação ou Desativar todas as configurações de macros, exceto as assinadas digitalmente
  • Preste atenção especial às notificações de aviso em clientes de e-mail e aplicativos do Office que podem alertá-lo sobre contextos suspeitos, como arquivos que não foram verificados quanto a malware ou que contêm macros VBA

CylanceGUARD para proteção contra malware

Como um serviço de XDR gerenciado 24x7x365 centrado no ser humano e baseado em assinatura, CylanceGUARD® oferece o conhecimento e o suporte de que as empresas precisam para prevenir e proteger contra ataques de ransomware. CylanceGUARD combina o conhecimento abrangente incorporado pelo BlackBerry Cybersecurity Services com a proteção de endpoints (EPP) baseada em IA por meio de CylancePROTECT®autenticação e análise contínuas por meio de CylancePERSONAe detecção e correção de ameaças no dispositivo por meio de CylanceOPTICS®. Em resumo, o site CylanceGUARD fornece aos negócios as pessoas e a tecnologia necessárias para proteger a empresa contra o cenário moderno de ameaças.
SAIBA MAIS

Recursos relacionados:

Ícone de recurso Prevenção contra perda de dados (DLP) Ícone de recurso Segurança de endpoint Ícone de recurso Plataformas de proteção de endpoints (EPP) Ícone de recurso Detecção e resposta de endpoint (EDR) Ícone de recurso Detecção e resposta estendidas (XDR) Ícone de recurso Gerenciamento de identidade e acesso (IAM) Ícone de recurso Detecção e resposta gerenciadas Ícone de recurso XDR gerenciado Ícone de recurso Estrutura MITRE ATT&CK Ícone de recurso Defesa contra ameaças móveis (MTD) Ícone de recurso Análise de comportamento de usuários e entidades (UEBA) Ícone de recurso Arquitetura Zero Trust Ícone de recurso Acesso à rede de confiança zero (ZTNA) Ícone de recurso Segurança Zero Trust Ícone de recurso Gerenciamento de eventos e informações de segurança (SIEM) Ícone de recurso Serviço de acesso seguro na borda (SASE)
Mais recursos