Remcos Malware

Remcos ist ein Remote-Access-Trojaner (RAT) und eine der zehn häufigsten Malware-Varianten des Jahres 2021. Nach der Infektion eines Computers ermöglicht Remcos einem Angreifer einen Hintertürzugriff auf das infizierte System und sammelt eine Vielzahl vertraulicher Informationen.

Lesen Sie den Sicherheitsbericht Demo anfordern

FUNKTIONSWEISE

Remcos wird häufig über einen Phishing-Angriff eingesetzt. Die Malware kann in eine bösartige ZIP-Datei eingebettet sein, die als PDF getarnt ist und angeblich eine Rechnung oder Bestellung enthält. Alternativ wurde die Malware auch mithilfe von Microsoft Office-Dokumenten und bösartigen Makros verbreitet, die die Malware entpacken und verbreiten.

Um einer Erkennung zu entgehen, nutzt Remcos Process Injection oder Process Hollowing, wodurch es in einem legitimen Prozess ausgeführt werden kann. Die Malware setzt außerdem Persistenzmechanismen ein und läuft im Hintergrund, um sich vor Benutzern zu verstecken.

Als RAT ist Command and Control (C2) eine Kernfunktion der Remcos-Malware. Der bösartige Datenverkehr wird auf dem Weg zum C2-Server verschlüsselt und der Angreifer verwendet Distributed DNS, um verschiedene Domänen für C2-Server zu erstellen. Dies ermöglicht es der Malware, Schutzmaßnahmen zu umgehen, die auf der Filterung des Datenverkehrs zu bekannten bösartigen Domänen basieren.

Remcos Malware-Fähigkeiten

Die Remcos-Malware ist eigentlich ein legitimes Tool, das von einem deutschen Unternehmen namens Breaking Security unter dem Namen Remote Control and Surveillance verkauft wird und häufig von Hackern missbraucht wird. Zu den wichtigsten Funktionen der Malware gehören:

  • Rechteerhöhung: Remcos kann Administratorrechte auf einem infizierten System erlangen und die Benutzerkontensteuerung (UAC) deaktivieren. Dadurch wird es für den Angreifer einfacher, schädliche Funktionen auszuführen.
  • Verteidigungsumgehung: Remcos nutzt Prozessinjektion, um sich in legitime Prozesse einzubetten, was die Erkennung durch Antivirenprogramme erschwert. Darüber hinaus kann die Malware im Hintergrund ausgeführt werden, um sich vor Benutzern zu verstecken.
  • Datenerfassung: Eine der Kernfunktionen der Remcos-Malware besteht darin, Informationen über den Benutzer eines Computers zu sammeln. Es kann Tastatureingaben protokollieren, Screenshots, Audio- und Zwischenablageinhalte erfassen und Passwörter vom infizierten System sammeln.

Auswirkungen einer Remcos-Infektion

Remcos ist ein hochentwickeltes RAT, das dem Angreifer die volle Kontrolle über den infizierten Computer gewährt und für eine Vielzahl von Angriffen eingesetzt werden kann. Zu den häufigsten Auswirkungen einer Remcos-Infektion gehören:

  • Kontoübernahme: Zu den Kernfunktionen von Remcos gehört das Sammeln von Passwörtern und Tastenanschlägen von infizierten Computern. Durch den Diebstahl von Benutzeranmeldeinformationen kann ein Angreifer die Kontrolle über Online-Konten und andere Systeme erlangen und so sensible Daten stehlen oder seinen Einfluss in der IT-Umgebung eines Unternehmens ausbauen.
  • Datendiebstahl: Remcos stiehlt Tastatureingaben und Anmeldeinformationen, kann aber auch andere sensible Daten aus den Systemen eines Unternehmens sammeln und herausfiltern. Infolgedessen kann Remcos verwendet werden, um eine Datenschutzverletzung entweder auf dem ursprünglich infizierten Computer oder auf anderen Systemen durchzuführen, auf die über kompromittierte Anmeldeinformationen zugegriffen wird.
  • Folgeinfektionen: Remcos ermöglicht es einem Angreifer, zusätzliche Malware-Varianten auf einem infizierten Computer einzusetzen. Das bedeutet, dass eine Remcos-Infektion zu einer Ransomware-Infektion oder einem anderen Folgeangriff auf ein Unternehmen führen könnte.

So schützen Sie sich vor Remcos-Malware

Obwohl Remcos eine führende Malware-Variante ist, können sich Unternehmen durch die Implementierung bewährter Sicherheitspraktiken vor Infektionen schützen. Zu den Möglichkeiten, einer Remcos-Infektion vorzubeugen, gehören:

  • E-Mail-Scanning: Remcos wird hauptsächlich über C verbreitet. E-Mail-Scanning-Lösungen, die verdächtige E-Mails identifizieren und blockieren, können verhindern, dass die Malware in die Posteingänge der Benutzer gelangt.
  • Content Disarm and Reconstruction (CDR): Die Remcos-Malware ist häufig in Dokumentdateien eingebettet, beispielsweise in Microsoft Office-Dateien. CDR kann Dokumente zerlegen, schädliche Inhalte entfernen und das bereinigte Dokument neu erstellen, um es an den vorgesehenen Empfänger weiterzuleiten.
  • Domänenanalyse: Remcos nutzt DDNS , um zahlreiche Domänen zu erstellen und so der domänenbasierten Blockierung bösartiger Websites zu entgehen. Die Analyse der von verschiedenen Endgeräten angeforderten Domain-Einträge kann dabei helfen, junge und verdächtige Domain-Namen zu identifizieren, die möglicherweise mit der Malware in Zusammenhang stehen.
  • Analyse des Netzwerkverkehrs: Einige Remcos-Varianten verschlüsseln ihren Netzwerkverkehr direkt mit AES-128 oder RC4 anstelle von Standardprotokollen wie SSL/TLS. Mithilfe der Netzwerk-Traffic-Analyse können diese ungewöhnlichen Traffic-Ströme identifiziert und zur weiteren Analyse markiert werden.
  • Endgerätesicherheit: Remcos ist eine bekannte Malware-Variante mit etablierten Kompromittierungsindikatoren. Trotz seiner Umgehungstechniken können Endgerätesicherheitslösungen das Problem auf einem System erkennen und beheben.

Remcos Malware-Schutz mit Check Point

Remcos ist ein hochentwickeltes RAT und eine der führenden Malware-Bedrohungen, doch Unternehmen sind auch mit zahlreichen Malware-Varianten und anderen Cyber-Bedrohungen konfrontiert. Erfahren Sie mehr über die größten Cybersicherheitsbedrohungen im Cyber Threat Report 2022 von Check Point.

Check Point-Lösungen schützen vor Remcos und anderen Malware-Infektionen, einschließlich Zero-Day-Bedrohungsschutz durch Check Point Threat Emulation. Check Point Harmony Endpoint nutzt branchenführende Endgerätesicherheits-Schutzmaßnahmen, um die Bedrohung durch Remcos und andere führende Malware-Bedrohungen zu mindern. Erfahren Sie mehr, indem Sie sich noch heute für eine kostenlose Demo anmelden.

 

×
  Feedback
Diese Website verwendet Cookies für ihre Funktionalität sowie für Analyse- und Marketingzwecke. Mit der weiteren Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen finden Sie in unserem Cookies Hinweis.
OK