Remcos Malware

Remcos es un troyano de acceso remoto (RAT) y una de las diez principales variantes de malware de 2021. Después de infectar una computadora, Remcos proporciona a un atacante acceso de puerta trasera al sistema infectado y recopila una variedad de información confidencial.

Lea el informe de seguridad Solicite una demostración

¿Cómo funciona?

Remcos se implementa comúnmente mediante un ataque de phishing. El malware puede estar incrustado en un archivo ZIP malicioso disfrazado de PDF que afirma contener una factura o un pedido. Alternativamente, el malware también se implementó utilizando documentos de Microsoft Office y macros maliciosas que descomprimen e implementan el malware.

Para evadir la detección, Remcos utiliza la inyección de procesos o el ahuecado de procesos, lo que le permite ejecutarse dentro de un proceso legítimo. El malware también implementa mecanismos de persistencia y se ejecuta en segundo plano para ocultarse de los usuarios.

Como RAT, el comando y control (C2) es una capacidad central del malware Remcos. El tráfico malicioso se encripta en ruta al servidor C2 y el atacante utiliza DNS distribuido para crear una variedad de dominios para servidores C2. Esto hace posible que el malware anule las protecciones que se basan en el filtrado del tráfico a dominios maliciosos conocidos.

Capacidades de malware de Remcos

El malware Remcos es en realidad una herramienta legítima vendida por una empresa alemana llamada Breaking Security con el nombre de Control Remoto y Vigilancia y los piratas informáticos suelen abusar de ella. Algunas de las capacidades clave del malware incluyen:

  • Elevación de privilegios: Remcos puede obtener permisos de administrador en un sistema infectado y deshabilitar el Control de cuentas de usuario (UAC). Esto hace que sea más fácil para el atacante ejecutar funciones maliciosas.
  • Evasión de defensa: Remcos utiliza la inyección de procesos para incrustarse dentro de procesos legítimos, lo que dificulta la detección de antivirus. Además, el malware puede ejecutarse en segundo plano para ocultarse de los usuarios.
  • Recopilación de datos: una de las capacidades principales del malware Remcos es recopilar información sobre el usuario de una computadora. Puede registrar pulsaciones de teclas, capturar capturas de pantalla, audio y contenido del portapapeles, y recopilar contraseñas del sistema infectado.

Impacto de una infección por Remcos

Remcos es un RAT sofisticado, lo que significa que le otorga al atacante control total sobre la computadora infectada y se puede usar en una variedad de ataques. Algunos de los impactos comunes de una infección por Remcos incluyen:

  • Account Takeover: Algunas de las capacidades principales de Remcos son recopilar contraseñas y pulsaciones de teclas de computadoras infectadas. Al robar credenciales de usuario, un atacante puede obtener control sobre las cuentas en línea y otros sistemas, lo que le permite robar datos confidenciales o ampliar su posición dentro del entorno de TI de una organización.
  • Robo de datos: Remcos roba pulsaciones de teclas y credenciales, pero también puede recopilar y filtrar otros datos confidenciales de los sistemas de una organización. Como resultado, Remcos se puede usar para realizar una violación de datos, ya sea en la computadora inicialmente infectada u otros sistemas a los que se accede a través de credenciales comprometidas.
  • Infecciones posteriores: Remcos hace posible que un atacante implemente variantes de malware adicionales en una computadora infectada. Esto significa que una infección por Remcos podría provocar una infección de ransomware u otro ataque posterior a una organización.

Cómo protegerse contra el malware Remcos

Si bien Remcos es una variante líder de malware, las organizaciones pueden protegerse contra infecciones implementando mejores prácticas de seguridad. Algunas maneras de prevenir una infección por Remcos incluyen:

  • Escaneo de correo electrónico: Remcos se distribuye principalmente a través de C. Las soluciones de escaneo de correo electrónico que identifican y bloquean correos electrónicos sospechosos pueden evitar que el malware llegue a las bandejas de entrada de los usuarios.
  • Desarmado y reconstrucción de contenido (CDR): el malware Remcos suele estar incrustado en archivos de documentos, como los archivos de Microsoft Office. CDR puede desensamblar documentos, exponer contenido malicioso y reconstruir el documento saneado para enviarlo al destinatario previsto.
  • Análisis de dominio: Remcos utiliza DDNS para crear numerosos dominios para evadir el bloqueo basado en dominios de sitios maliciosos. El análisis de los registros de dominio solicitados por varios terminales puede ayudar a identificar nombres de dominio jóvenes y sospechosos que podrían estar asociados con el malware.
  • Análisis del tráfico de red: algunas variantes de Remcos cifran directamente su tráfico de red utilizando AES-128 o RC4 en lugar de protocolos estándar como SSL/TLS. El análisis del tráfico de red puede identificar estos flujos de tráfico inusuales y marcarlos para su posterior análisis.
  • seguridad de terminales: Remcos es una variante de malware muy conocida con indicadores de compromiso establecidos. A pesar de sus técnicas de evasión de defensa, las soluciones de seguridad de terminales pueden identificarlo y remediarlo en un sistema.

Protección contra malware Remcos con Check Point

Remcos es una RAT sofisticada y una de las principales amenazas de malware; sin embargo, las empresas también se enfrentan a numerosas variantes de malware y otras amenazas cibernéticas. Conozca las principales amenazas a la ciberseguridad en el Informe de amenazas cibernéticas 2022 de Check Point.

Las soluciones de Check Point protegen contra Remcos y otras infecciones de malware, incluida la protección contra amenazas de día cero mediante Check Point Threat Emulation. Check Point Harmony Endpoint aprovecha las protecciones de seguridad de terminales líderes en la industria para mitigar la amenaza de Remcos y otras amenazas de malware líderes. Obtenga más información registrándose hoy para una demostración gratuita.

 

Comenzar

Harmony Endpoint Protection

Zero-Day Protection

Prevención avanzada de amenazas de red

Temas relacionados

¿Qué es el malware?

malwareramificado

Emotet Malware

What is a Trojan

¿Qué es un ataque por puerta trasera?

x
  Comentarios
Este sitio web emplea cookies para su funcionalidad y con fines analíticos y de marketing. Al continuar empleando este sitio web, usted acepta el uso de cookies. Para más información, lea nuestro Aviso sobre cookies.
Aceptar