Comment cela fonctionne-t-il ?
Remcos est généralement déployé par le biais d'une attaque par hameçonnage. Le logiciel malveillant peut être intégré dans un fichier ZIP malveillant se faisant passer pour un PDF qui prétend contenir une facture ou une commande. Le logiciel malveillant a également été déployé à l'aide de documents Microsoft Office et de macros malveillantes qui décompressent et déploient le logiciel malveillant.
Pour échapper à la détection, Remcos utilise l'injection de processus ou le creusement de processus, ce qui lui permet de s'exécuter à l'intérieur d'un processus légitime. Le logiciel malveillant déploie également des mécanismes de persistance et s'exécute en arrière-plan pour se dissimuler aux yeux des utilisateurs.
En tant que RAT, le commandement et le contrôle (C2) est une capacité essentielle du logiciel malveillant Remcos. Le trafic malveillant est crypté en route vers le serveur C2, et l'attaquant utilise le DNS distribué pour créer une variété de domaines pour les serveurs C2. Cela permet au logiciel malveillant de déjouer les protections qui reposent sur le filtrage du trafic vers des domaines malveillants connus.
Capacités du logiciel malveillant Remcos
Le logiciel malveillant Remcos est en fait un outil légitime vendu par une société allemande nommée Breaking Security sous le nom de Remote Control and Surveillance (contrôle et surveillance à distance) et est couramment utilisé par les pirates informatiques. Voici quelques-unes des principales capacités de ce logiciel malveillant :
- Élévation des privilèges : Remcos peut obtenir des autorisations d'administrateur sur un système infecté et désactiver le contrôle de compte d'utilisateur (UAC). Cela permet à l'attaquant d'exécuter plus facilement une fonctionnalité malveillante.
- Évasion de la défense : Remcos utilise l'injection de processus pour s'intégrer dans des processus légitimes, ce qui rend sa détection par les antivirus plus difficile. En outre, le logiciel malveillant peut fonctionner en arrière-plan pour se dissimuler aux yeux des utilisateurs.
- Collecte de données : L'une des principales capacités du logiciel malveillant Remcos est de collecter des informations sur l'utilisateur d'un ordinateur. Il peut enregistrer les frappes au clavier, réaliser des captures d'écran, des enregistrements audio et des contenus de presse-papiers, et collecter les mots de passe du système infecté.
Impact d'une infection par Remcos
Remcos est un RAT sophistiqué, ce qui signifie qu'il accorde à l'attaquant un contrôle total sur l'ordinateur infecté et peut être utilisé dans une variété d'attaques. Parmi les conséquences les plus courantes d'une infection par Remcos, on peut citer
- Piratage de compte: Remcos permet notamment de collecter les mots de passe et les frappes clavier des ordinateurs infectés. En dérobant les identifiants des utilisateurs, un pirate peut prendre le contrôle de comptes en ligne et d'autres systèmes, ce qui lui permet de voler des données sensibles ou d'étendre son emprise sur l'environnement informatique d'une organisation.
- Vol de données : Remcos vole les frappes au clavier et les identifiants, mais peut également collecter et exfiltrer d'autres données sensibles des systèmes d'une organisation. Par conséquent, Remcos peut être utilisé pour effectuer une violation de données soit sur l'ordinateur initialement infecté, soit sur d'autres systèmes auxquels on accède par le biais d'informations d'identification compromises.
- Infections ultérieures : Remcos permet à un attaquant de déployer d'autres variantes de logiciels malveillants sur un ordinateur infecté. Cela signifie qu'une infection par Remcos peut conduire à une infection par un logiciel rançonneur ou à une autre attaque de suivi contre une organisation.
Comment se protéger contre Remcos logiciel malveillant
Bien que Remcos soit l'une des principales variantes du logiciel malveillant, les entreprises peuvent se protéger contre les infections en mettant en œuvre les meilleures pratiques en matière de sécurité. Voici quelques moyens de prévenir une infection par Remcos :
- Analyse des courriels : Remcos est principalement distribué via C. Les solutions d'analyse des courriels qui identifient et bloquent les courriels suspects peuvent empêcher le logiciel malveillant d'atteindre les boîtes de réception des utilisateurs.
- Désarmement et reconstruction du contenu (CDR) : Le logiciel malveillant Remcos est généralement intégré dans des fichiers de documents, tels que les fichiers Microsoft Office. Le CDR peut désassembler les documents, supprimer le contenu malveillant et reconstruire le document assaini pour l'envoyer au destinataire prévu.
- Analyse des domaines : Remcos utilise le DDNS pour créer de nombreux domaines afin d'éviter le blocage par domaine des sites malveillants. L'analyse des enregistrements de domaines demandés par différents postes peut aider à identifier les noms de domaines jeunes et suspects qui pourraient être associés au logiciel malveillant.
- Analyse du trafic réseau : Certaines variantes de Remcos chiffrent directement leur trafic réseau en utilisant AES-128 ou RC4 plutôt que des protocoles standard tels que SSL/TLS. L'analyse du trafic réseau permet d'identifier ces flux de trafic inhabituels et de les marquer pour une analyse plus approfondie.
- Sécurité des postes : Remcos est une variante de logiciel malveillant bien connue dont les indicateurs de compromission sont bien établis. Malgré ses techniques d'évasion de la défense, les solutions de Sécurité des postes peuvent l'identifier et y remédier sur un système.
Remcos logiciel malveillant Protection avec Check Point
Remcos est un RAT sophistiqué et l'une des principales menaces logicielles malveillantes, mais les entreprises sont également confrontées à de nombreuses variantes logicielles malveillantes et à d'autres cybermenaces. Découvrez les principales menaces en matière de cybersécurité dans le rapport 2022 sur les cybermenaces de Check Point.
Les solutions de Check Point protègent contre les infections Remcos et autres logiciels malveillants, y compris la protection contre les menaces du jour zéro grâce à l'émulation des menaces de Check Point. Check Point Harmony Endpoint s'appuie sur des protections de sécurité des postes à la pointe de l'industrie pour atténuer la menace des Remcos et d'autres logiciels malveillants de premier plan. Pour en savoir plus, inscrivez-vous dès aujourd'hui à un démo gratuit.