Remcos RAT olarak bilinen uzaktan erişim truva atının (RAT), Güney Kore’de yetişkin temalı oyunlar olarak gizlenerek webhard’lar aracılığıyla yayıldığı tespit edildi.
Web sabit diskinin kısaltması olan WebHard, ülkede dosya yüklemek, indirmek ve paylaşmak için kullanılan popüler bir çevrimiçi dosya depolama sistemidir.
Webhard’lar geçmişte njRAT, UDP RAT ve DDoS botnet kötü amaçlı yazılımlarını dağıtmak için kullanılmış olsa da, AhnLab Güvenlik Acil Durum Müdahale Merkezi’nin (ASEC) en son analizi, tekniğin Remcos RAT’ı dağıtmak için benimsendiğini gösteriyor.
Bu saldırılarda kullanıcılar, bubi tuzaklı dosyaları yetişkin oyunları gibi göstererek kandırılıyor ve bu oyunlar başlatıldığında “ffmpeg.exe” adlı bir ara ikili dosyayı çalıştırmak için kötü amaçlı Visual Basic komut dosyalarını çalıştırıyor.
Bu, aktör kontrollü bir sunucudan Remcos RAT’ın alınmasıyla sonuçlanır.
Gelişmiş bir RAT olan Remcos (diğer adıyla Uzaktan Kontrol ve Gözetim), güvenliği ihlal edilmiş ana bilgisayarların yetkisiz uzaktan kontrolünü ve gözetimini kolaylaştırarak tehdit aktörlerinin hassas verileri sızdırmasına olanak tanır.
Bu kötü amaçlı yazılım, ilk olarak 2016 yılında Almanya merkezli Breaking Security firması tarafından iyi niyetli bir uzaktan yönetim aracı olarak pazarlanmasına rağmen, sistemlere sızmak ve sınırsız kontrol oluşturmak için rakip aktörler tarafından kullanılan güçlü bir silaha dönüştü.
Cyfirma, Ağustos 2023’te yaptığı bir analizde “Remcos RAT, tehdit aktörleri tarafından çeşitli kampanyalarda kullanılan kötü amaçlı bir araca dönüştü” dedi.
“Kötü amaçlı yazılımın tuş kaydı, ses kaydı, ekran görüntüsü yakalama ve daha fazlasını içeren çok işlevli yetenekleri, kullanıcı gizliliğini tehlikeye atma, hassas verileri sızdırma ve sistemleri manipüle etme potansiyelini vurguluyor. RAT’ın Kullanıcı Hesabı Denetimini (UAC) devre dışı bırakma ve kalıcılık sağlama yeteneği, bu özelliği daha da güçlendiriyor potansiyel etkisi.”