انتقال بدافزار Remcos RAT از طریق ایمیلهای فیشینگ
صدا و سيما/ مجرمان سايبري براي دستيابي به اطلاعات کاربران، همچنان از ايميلهاي کلاهبرداري (فيشينگ) استفاده ميکنند. به گزارش Trend Micro، در روشي جديد، مجرمان سايبري بدافزار Remcos RAT را از طريق ايميلهاي کلاهبرداري (فيشينگ) انتقال داده اند. بدافزار Remcos RAT داراي قابليت دور زدن ويژگي کنترل حساب کاربري (UAC) است. Payload اصلي بدافزار نيز داراي قابليتهاي متنوعي از جمله مديريت Clipboard، حذف فايل، دانلود فايل از يک URL مشخص و اجراي آن در سيستم آلوده، اجراي دستور Shell، مديريت فايل، بررسي فرايندهاي پردازشي در حال اجرا، اجراي اسکريپت از راه دور، ثبت کننده کليد (keylogger)، ويرايش کليدهاي رجيستري و گرفتن اسکرينشات است.
به تازگي پژوهشگران دريافتهاند که مهاجمان سايبري بدافزار Remcos را با ابزار AutoIt منتقل کرده و براي جلوگيري از شناسايي، از روشهاي ضدديباگ و مبهمسازي بهره گرفتهاند.
پيوست مخرب در ايميل فيشينگ اين حملات از فايل فشرده با فرمت ACE بهره ميبرد که حاوي فايل Boom.exe است.
پس از تبديل اين فايل اجرايي به اسکريپت AutoIt، مشاهده شد که کد مخرب داراي چندين لايه مبهمسازي براي جلوگيري از شناسايي و دشوار ساختن مهندسي معکوس آن براي پژوهشگران است.
هدف اصلي فايل Boom.exe کسب پايداري، انجام دادن فعاليتهايي براي جلوگيري از تحليل و انتقال و اجراي بدافزار Remcos RAT در سيستم آلوده است.
بدافزار Remcos RAT براي اولين بار در سال ۲۰۱۶ و در فرومهاي هک مشاهده شد. به نظر ميرسد که اين بدافزار همچنان فعال و مورد استفاده مجرمين سايبري است.