Malware Remcos

¿Qué es Remcos?

Remcos (abreviatura de Remote Control and Surveillance, control y vigilancia remotos) es una aplicación comercial de administración de sistemas para XP y versiones más recientes de Windows que los actores de amenazas han convertido en un arma. Remcos es una aplicación de código cerrado diseñada para el mantenimiento de redes, la supervisión de sistemas, la vigilancia y las pruebas de penetración, pero los atacantes la utilizan para explotar sistemas objetivo de forma remota. Aunque el proveedor Breaking Security afirma que Remcos es una herramienta de seguridad legítima, ha sido etiquetada como malware por CISA e incluida en su lista de principales cepas de malware de 2021.

Las capacidades maliciosas de Remcos son casi ilimitadas debido a su robusto conjunto de características y a su capacidad para mantener un control remoto persistente y con privilegios elevados del sistema de la víctima. Se utiliza habitualmente para robar credenciales, para conexiones a Internet de tipo man-in-the-middle (MiTM) y para orquestar botnets zombis que pueden lanzar ataques de denegación de servicio distribuidos (DDoS) sincronizados. Se lanzó por primera vez en 2016 y se vende por 58-389 libras (66-439 dólares) en función del número de licencias y funciones incluidas.

Últimas noticias de Remcos

Cómo funciona Remcos

Remcos se distribuye a través de campañas de phishing por correo electrónico que intentan engañar a los objetivos para que abran documentos maliciosos de Microsoft Office utilizando tácticas de ingeniería social como el spam relacionado con COVID. Si un objetivo abre el documento adjunto y habilita las macros, el stager de Remcos puede eludir el Control de Cuentas de Usuario de Microsoft Windows secuestrando el Registro de Windows para ejecutar la carga útil principal de Remcos con privilegios de sistema de alto nivel. Para mantener el acceso persistente a un sistema comprometido, Remcos añade una clave de inicio automático en el registro de Windows para ejecutar el malware una vez que se reinicia el sistema infectado.

Remcos es una aplicación basada en Windows escrita en C++ y Delphi. Es capaz de realizar scripts remotos multihilo para una explotación de alto rendimiento. Cuenta con múltiples opciones de acceso remoto, como acceso shell de comandos, interfaz de administrador de servicios, proxy remoto SOCKS5 y una GUI de administrador fácil de usar. 

Remcos utiliza un protocolo personalizado basado en TCP para establecer conexiones cifradas y keepalive para mantener su conexión de mando y control (C2) en redes inestables. Estas herramientas eficaces y robustas convierten a Remcos en el malware preferido para mantener botnets zombis y dirigir el tráfico de Internet a hosts comprometidos.

Señales de un ataque de Remcos

Dado que Remcos es una aplicación de software propietario precompilada, produce firmas hash fiables. Esto significa que la carga útil principal de Remcos puede ser detectada por la mayoría de los escáneres de malware cuando entra en la red de destino o en el entorno del host en un formato no cifrado o en la ejecución si entra en la red en un formato cifrado. 

Otros Indicadores de Compromiso (IOC) asociados a Remcos

  • Un ordenador se bloquea con frecuencia, su ventilador está constantemente encendido o, en general, funciona con respuestas retardadas.
  • Las ventanas de las aplicaciones se abren solas sin interacción del usuario
  • Aparecen ventanas emergentes de publicidad maliciosa fuera de lugar durante la navegación por Internet
  • Las URL redirigen a los usuarios a sitios falsos que ofrecen tentadoras ofertas, como iPhones o iPads gratis.

Cómo prevenir un ataque de Remcos

Prevenir un ataque Remcos requiere una combinación de varias tácticas defensivas clave, incluyendo:

  • Instalación y configuración de un producto avanzado de seguridad de puntos finales en todos los dispositivos para reconocer Remcos cuando entra en la red e impedir su ejecución.
  • Garantizar el uso de un filtro de spam eficaz y actualizado para evitar que los ataques de Remcos lleguen a la bandeja de entrada.
  • Formación de los usuarios para reducir la probabilidad de éxito de los ataques de ingeniería social y phishing.

Más formas de prevenir un ataque Remcos con éxito

  • Utilice un producto de seguridad de filtrado de spam para identificar los archivos adjuntos de phishing de Remcos en primera fase y evitar que lleguen a la bandeja de entrada.
  • Instale y configure productos avanzados de seguridad de puntos finales para detectar la carga útil principal de Remcos en el momento en que entra en la red o antes de que se ejecute.
  • Considere la posibilidad de impartir formación de concienciación a los usuarios para educar al personal sobre las técnicas de phishing; desarrolle procedimientos operativos estándar (SOP) para el tratamiento de correos electrónicos y documentos sospechosos.
  • Configurar los clientes de correo electrónico para que notifiquen a los usuarios cuando los mensajes procedan de fuera de la organización.
  • Reconocer el mayor riesgo que presentan los archivos de origen desconocido y verificar minuciosamente el contexto de dichos documentos antes de abrirlos.
  • Asegúrese de que las aplicaciones de Office están configuradas con Desactivar todas las macros sin notificación o Desactivar todas las macros excepto las firmadas digitalmente
  • Preste especial atención a las notificaciones de advertencia de los clientes de correo electrónico y las aplicaciones de Office que pueden alertarle de contextos sospechosos, como archivos que no han sido analizados en busca de malware o que contienen macros VBA.

CylanceGUARD para la protección contra malware

Como servicio XDR gestionado 24x7x365 basado en suscripciones y centrado en el ser humano, CylanceGUARD® ofrece a las empresas la experiencia y el apoyo que necesitan para prevenir y protegerse contra los ataques de ransomware. CylanceGUARD combina la experiencia integral de BlackBerry Cybersecurity Services con Endpoint Protection (EPP) basado en IA a través de CylancePROTECT®, autenticación continua y análisis a través de CylancePERSONA, y detección y corrección de amenazas en el dispositivo a través de CylanceOPTICS®. En resumen, CylanceGUARD proporciona a las empresas las personas y la tecnología necesarias para proteger a la empresa del panorama moderno de amenazas.
SABER MÁS

Recursos relacionados:

Icono de recursos Prevención de pérdida de datos (DLP) Icono de recursos Seguridad de puntos finales Icono de recursos Plataformas de protección de puntos finales (EPP) Icono de recursos Detección y respuesta a puntos finales (EDR) Icono de recursos Detección y respuesta ampliadas (XDR) Icono de recursos Gestión de identidades y accesos (IAM) Icono de recursos Detección y respuesta gestionadas Icono de recursos XDR gestionado Icono de recursos Marco ATT&CK de MITRE Icono de recursos Defensa frente a amenazas móviles (MTD) Icono de recursos Análisis del comportamiento de usuarios y entidades (UEBA) Icono de recursos Arquitectura de confianza cero Icono de recursos Acceso a la red de confianza cero (ZTNA) Icono de recursos Seguridad de confianza cero Icono de recursos Gestión de eventos e información de seguridad (SIEM) Icono de recursos Servicio de Acceso Seguro Edge (SASE)
Más recursos