COME FUNZIONA?
Remcos viene comunemente distribuito tramite un attacco di phishing. Il malware può essere incorporato in un file ZIP dannoso mascherato da PDF che sostiene di contenere una fattura o un ordine. In alternativa, il malware è stato distribuito anche utilizzando documenti di Microsoft Office e macro dannose che scompattano e distribuiscono il malware.
Per eludere il rilevamento, Remcos utilizza il process injection o process hollowing, che gli consente di essere eseguito all'interno di un processo legittimo. Il malware implementa anche meccanismi di persistenza e viene eseguito in background per nascondersi dagli utenti.
Come RAT, il comando e il controllo (C2) è una capacità fondamentale del malware Remcos. Il traffico dannoso viene crittografato durante il percorso verso il server C2, e l'aggressore utilizza il DNS distribuito per creare una serie di domini per i server C2. Questo rende possibile al malware di sconfiggere le protezioni che si basano sul filtraggio del traffico verso domini noti come dannosi.
Capacità del malware Remcos
Il malware Remcos è in realtà uno strumento legittimo venduto da un'azienda tedesca chiamata Breaking Security con il nome di Controllo e Sorveglianza remoti e viene comunemente abusato dagli hacker. Alcune delle capacità chiave del malware includono:
- Elevazione dei privilegi: Remcos può ottenere i permessi di amministratore su un sistema infetto e disabilitare il Controllo dell'account utente (UAC). Questo rende più facile per l'aggressore l'esecuzione di funzionalità dannose.
- Evasione della difesa: Remcos utilizza la process injection per inserirsi all'interno di processi legittimi, rendendo più difficile il rilevamento da parte degli antivirus. Inoltre, il malware può essere eseguito in background per nascondersi agli utenti.
- Raccolta di dati: Una delle capacità principali del malware Remcos è quella di raccogliere informazioni sull'utente di un computer. Può registrare i tasti premuti, catturare screenshot, audio e contenuti degli appunti e raccogliere le password dal sistema infetto.
Impatto di un'infezione da Remcos
Remcos è un RAT sofisticato, il che significa che garantisce all'aggressore il pieno controllo del computer infetto e può essere utilizzato in una varietà di attacchi. Alcuni degli impatti comuni di un'infezione da Remcos includono:
- Account Takeover: Alcune delle funzionalità principali di Remcos sono la raccolta di password e sequenze di tasti dai computer infetti. Rubando le credenziali degli utenti, un aggressore può ottenere il controllo degli account online e di altri sistemi, consentendo di rubare dati sensibili o di espandere la propria posizione all'interno dell'ambiente IT di un'organizzazione.
- Furto di dati: Remcos ruba tasti e credenziali, ma può anche raccogliere ed esfiltrare altri dati sensibili dai sistemi di un'organizzazione. Di conseguenza, Remcos può essere utilizzato per effettuare una violazione dei dati sia sul computer inizialmente infetto sia su altri sistemi a cui si accede tramite credenziali compromesse.
- Infezioni successive: Remcos consente a un aggressore di distribuire ulteriori varianti di malware su un computer infetto. Ciò significa che un'infezione da Remcos potrebbe portare a un'infezione da ransomware o a un altro attacco successivo a un'organizzazione.
Come proteggersi dal malware Remcos
Sebbene Remcos sia una delle principali varianti di malware, le organizzazioni possono proteggersi dalle infezioni implementando le migliori pratiche di sicurezza. Alcuni modi per prevenire un'infezione da Remcos sono i seguenti:
- Scansione e-mail: Remcos è distribuito principalmente tramite C. Le soluzioni di scansione e-mail che identificano e bloccano le e-mail sospette possono impedire al malware di raggiungere le caselle di posta degli utenti.
- Disarmo e ricostruzione dei contenuti (CDR): Il malware Remcos è comunemente incorporato in file di documenti, come i file di Microsoft Office. Il CDR può disassemblare i documenti, eliminare i contenuti dannosi e ricostruire il documento sanificato da inviare al destinatario.
- Analisi del dominio: Remcos utilizza il DDNS per creare numerosi domini per eludere il blocco dei siti dannosi basato sul dominio. L'analisi dei record di dominio richiesti dai vari endpoint può aiutare a identificare i nomi di dominio giovani e sospetti che potrebbero essere associati al malware.
- Analisi del traffico di rete: Alcune varianti di Remcos criptano direttamente il loro traffico di rete utilizzando AES-128 o RC4 piuttosto che protocolli standard come SSL/TLS. L'analisi del traffico di rete può identificare questi flussi di traffico insoliti e contrassegnarli per un'ulteriore analisi.
- Endpoint Security: Remcos è una variante di malware ben nota, con indicatori di compromissione consolidati. Nonostante le sue tecniche di evasione della difesa, le soluzioni Endpoint Security possono identificarlo e rimediarlo su un sistema.
Protezione malware Remcos con Check Point
Remcos è un sofisticato RAT e una delle principali minacce malware, ma le aziende devono affrontare anche numerose varianti di malware e altre minacce informatiche. Scoprite le principali minacce alla sicurezza informatica nel Report sulle minacce informatiche 2022 di Check Point.
Le soluzioni Check Point proteggono da Remcos e da altre infezioni malware, compresa la protezione dalle minacce zero-day di Check Point Threat Emulation. Check Point Harmony Endpoint sfrutta le protezioni leader del settore Endpoint Security per mitigare la minaccia di Remcos e di altre minacce informatiche di primo piano. Per saperne di più, iscrivetevi oggi stesso per una demo gratuita.