AhnLab Güvenlik Acil Durum Müdahale Merkezi (ASEC), yakın zamanda, virüs bulaşmış makinelere uzaktan erişebilen ve bunları yönetebilen kötü amaçlı bir yazılım olan Remcos RAT’ın rahatsız edici bir vakasını ortaya çıkardı.
Bu kötü amaçlı yazılımın arkasındaki saldırganlar, alıcıları PDF dosyası olarak gizlenmiş Remcos RAT içeren sıkıştırılmış bir CAB dosyasını açmaları için kandırmak amacıyla maaş bordrosu gibi görünen akıllı bir e-posta dolandırıcılığı kullandı.
Bu sinsi numara, Remcos RAT’ın hedefin sistemine girmesine izin vererek saldırgana birçok kötü amaçlı seçenek sundu.
Remcos RAT bir kez çalıştırıldığında birçok müdahaleci yeteneğe sahiptir. Tuş vuruşlarını kaydedebilir, ekran görüntüleri alabilir, web kameralarını ve mikrofonları kontrol edebilir ve saldırganın komutlarına göre çeşitli eylemleri gerçekleştirebilir.
Ayrıca kurbanın sisteminden tarama geçmişleri ve saklanan şifreler gibi hassas verileri de çalabilir.
İlginç bir şekilde Remcos RAT, saldırganın komuta ve kontrol (C2) sunucusundan komutlar alana kadar pasif kalıyor.
Bu, güvenlik sistemleri tarafından tespit edilmekten kaçınmasına yardımcı olur. Ancak onu tipik uzaktan erişim truva atlarından farklı kılan benzersiz bir özelliği vardır.
Remcos RAT, enfeksiyondan hemen sonra C2 sunucusundan herhangi bir komuta ihtiyaç duymadan çalışmaya başlayan çevrimdışı bir keylogger’a sahiptir.
Bu, özellikle korumalı alan cihazlarında algılama için kullanılabilecek bir zayıflık oluşturur.
Remcos RAT’ın uzaktan kumanda sunucusunun çeşitli kontrol özellikleri (Remcos v2.6.0)
Remcos RAT’taki çevrimdışı keylogger, SetWindowHookExA API’sini kullanarak ve klavye giriş olaylarını WH_KEYBOARD_LL bağımsız değişkeni aracılığıyla izlemek için bir kanca prosedürü yükleyerek çalışır.
AhnLab’ın MDS korumalı alan ortamı, bu çevrimdışı keylogger’ın kötü amaçlı davranışını başarıyla algılar.
Bu özellik, C2 sunucusuna bağlanmadan önce bile Remcos RAT’ın varlığının belirlenmesine yardımcı olur.
AhnLab MDS kullanılarak tespit edilen Remcos RAT kötü amaçlı yazılımı (2)
Sonuç olarak Remcos RAT çok fazla zarar verebilecek ciddi bir tehdittir. Benzersiz çevrimdışı keylogger özelliği, algılama şansı sunarak güvenlik yöneticilerinin MDS gibi gelişmiş tehdit önleme çözümlerini kullanmasını ve EDR gibi ürünler kullanan olağandışı davranışlara karşı uç nokta ortamlarını dikkatle izlemesini önemli hale getirir.
850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Bir dene ücretsiz deneme % 100 güvenlik sağlamak için.