Remcos Malware

Remcos é um trojan de acesso remoto (RAT) e uma das dez principais variantes de malware de 2021. Depois de infectar um computador, o Remcos fornece ao invasor acesso backdoor ao sistema infectado e coleta uma variedade de informações confidenciais.

Leia o relatório de segurança Solicite uma demo

Como funciona?

O Remcos é comumente implantado por meio de um ataque de phishing. O malware pode estar incorporado em um arquivo ZIP malicioso disfarçado de PDF que afirma conter uma fatura ou pedido. Alternativamente, o malware também foi implantado usando documentos do Microsoft Office e macros maliciosas que descompactam e implantam o malware.

Para evitar a detecção, o Remcos usa injeção de processo ou esvaziamento de processo, o que permite que ele seja executado dentro de um processo legítimo. O malware também implanta mecanismos de persistência e é executado em segundo plano para se esconder dos usuários.

Como RAT, comando e controle (C2) é um recurso central do malware Remcos. O tráfego malicioso é criptografado no caminho para o servidor C2, e o invasor usa DNS distribuído para criar uma variedade de domínios para servidores C2. Isso possibilita que o malware derrote as proteções que dependem da filtragem do tráfego para domínios maliciosos conhecidos.

Capacidades de malware Remcos

O malware Remcos é na verdade uma ferramenta legítima vendida por uma empresa alemã chamada Breaking Security sob o nome Remote Control and Surveillance e é comumente usada por hackers. Algumas das principais capacidades do malware incluem:

  • Elevação de privilégios: Remcos pode obter permissões de administrador em um sistema infectado e desabilitar o Controle de Conta de Usuário (UAC). Isso torna mais fácil para o invasor executar funcionalidades maliciosas.
  • Evasão de defesa: Remcos usa injeção de processo para se incorporar a processos legítimos, tornando mais difícil a detecção de antivírus. Além disso, o malware pode ser executado em segundo plano para se esconder dos usuários.
  • Coleta de dados: Um dos principais recursos do malware Remcos é coletar informações sobre o usuário de um computador. Ele pode registrar as teclas digitadas, capturar capturas de tela, áudio e conteúdo da área de transferência e coletar senhas do sistema infectado.

Impacto de uma infecção por Remcos

Remcos é um RAT sofisticado, o que significa que concede ao invasor controle total sobre o computador infectado e pode ser usado em diversos ataques. Alguns dos impactos comuns de uma infecção por Remcos incluem:

  • Account Takeover: alguns dos principais recursos do Remcos são coletar senhas e pressionamentos de teclas de computadores infectados. Ao roubar credenciais de usuários, um invasor pode obter controle sobre contas on-line e outros sistemas, permitindo-lhes roubar dados confidenciais ou expandir sua posição no ambiente de TI de uma organização.
  • Roubo de dados: Remcos rouba teclas digitadas e credenciais, mas também pode coletar e exfiltrar outros dados confidenciais dos sistemas de uma organização. Como resultado, o Remcos pode ser usado para realizar uma violação de dados no computador inicialmente infectado ou em outros sistemas acessados por meio de credenciais comprometidas.
  • Infecções subsequentes: Remcos possibilita que um invasor implante variantes adicionais de malware em um computador infectado. Isso significa que uma infecção por Remcos pode levar a uma infecção por ransomware ou outro ataque subsequente a uma organização.

Como se proteger contra malware Remcos

Embora o Remcos seja uma variante líder de malware, as organizações podem se proteger contra infecções implementando práticas recomendadas de segurança. Algumas maneiras de prevenir uma infecção por Remcos incluem:

  • Verificação de e-mail: Remcos é distribuído principalmente via C. As soluções de verificação de e-mail que identificam e bloqueiam e-mails suspeitos podem impedir que o malware chegue às caixas de entrada dos usuários.
  • Desarme e reconstrução de conteúdo (CDR): O malware Remcos é comumente incorporado em arquivos de documentos, como arquivos do Microsoft Office. O CDR pode desmontar documentos, eliminar conteúdo malicioso e reconstruir o documento higienizado para ser enviado ao destinatário pretendido.
  • Análise de domínio: Remcos usa DDNS para criar vários domínios para evitar o bloqueio de sites maliciosos baseado em domínio. A análise dos registros de domínio solicitados por vários endpoint pode ajudar a identificar nomes de domínio jovens e suspeitos que possam estar associados ao malware.
  • Análise de tráfego de rede: algumas variantes do Remcos criptografam diretamente seu tráfego de rede usando AES-128 ou RC4 em vez de protocolos padrão como SSL/TLS. A análise do tráfego de rede pode identificar esses fluxos de tráfego incomuns e marcá-los para análise posterior.
  • Segurança do endpoint: Remcos é uma variante de malware bem conhecida com indicadores de comprometimento estabelecidos. Apesar de suas técnicas de evasão de defesa, as soluções de Segurança de endpoint podem identificar e remediar isso em um sistema.

Proteção contra malware Remcos com Check Point

Remcos é um RAT sofisticado e uma das principais ameaças de malware, mas as empresas também enfrentam inúmeras variantes de malware e outras ameaças cibernéticas. Saiba mais sobre as principais ameaças à segurança cibernética no Relatório de Ameaças Cibernéticas de 2022 da Check Point.

As soluções Check Point protegem contra Remcos e outras infecções por malware, incluindo proteção contra ameaças de dia zero pelo Check Point Threat Emulation. O Check Point Harmony Endpoint aproveita as proteções de segurança de endpoint líderes do setor para mitigar a ameaça de Remcos e outras ameaças de malware líderes. Saiba mais inscrevendo-se hoje mesmo para uma demo gratuita.

 

Iniciar

Harmony Endpoint Protection

Zero-Day Protection

Prevenção avançada contra ameaças de rede

Tópicos relacionados

O que é malware

malwareRamnit

Emotet Malware

What is a Trojan

O que é um ataque backdoor

×
  Opinião
Este site usa cookies para sua funcionalidade e para fins de análise e marketing. Ao continuar a usar este site, o senhor concorda com o uso de cookies. Para obter mais informações, leia nosso avisocookies .
OK