ForcePoint’in X-Labs, tehlikeye atılan hesaplardan yeni zor kimlik avı e-postaları ve yol bypass gibi gelişmiş kaçaklama tekniklerini kullanarak Remcos kötü amaçlı yazılımları, sistemleri sızdırmak, kimlik bilgilerini çalmak ve uzun vadeli kontrolü sürdürmek için ortaya çıkar. İşaretleri nasıl tespit edeceğinizi öğrenin.
Forcepoint’in X-Labs’daki siber güvenlik uzmanları, güvenlik önlemlerini sürdürmeye ve enfekte olmuş bilgisayarlarda gizli bir varlığı sürdürmeye sürekli olarak uyum sağlayan sofistike bir tehdit olan Remcos kötü amaçlı yazılımlarının sürekli etkinliği hakkında uyarıyorlar. Genellikle ikna edici kimlik avı saldırıları yoluyla sunulan bu kötü amaçlı yazılım, saldırganların uzun vadeli erişim sağlamasına izin verir.
Bildirildiğine göre, 2024-2025 yılları arasında gözlemlenen kampanyalar, Remcos kötü amaçlı yazılımların son derece aktif kaldığını, sürekli olarak gizli kalmak için adapte olduğunu gösteriyor.
İlk enfeksiyon tipik olarak küçük işletmelerin veya okulların tehlikeye atılmış hesaplarından kaynaklanan aldatıcı bir e -posta ile başlar. Bunlar, saldırıya uğramış ve e -postaların güvenilir görünmesini ve şüpheli olarak işaretlenmesi daha az olan meşru hesaplardır.
Bu e -postalar, sıkıştırılmış arşiv ataşmanlarının içinde gizlenmiş ve gizlenmiş kötü niyetli pencereler kısayolu (.lnk) dosyaları taşır. Bir kullanıcı hile için düştüğünde ve kötü amaçlı dosyayı açtığında, Remcos sessizce kendini yükleyerek kurbanın bilgisayarında gizli klasörler oluşturur.
Bu klasörleri özellikle zorlaştıran şey, “\\? Özel bir NT Nesne Yöneticisi Yolu önekini kullanmayı içeren bu teknik, kötü amaçlı yazılımın meşru sistem dizinlerini taklit etmesini sağlar. C:\Windows\SysWOW64güvenlik araçlarının tespit edilmesini inanılmaz derecede zorlaştırıyor.
İlk kurulumdan sonra Remcos, tespit edilmeden uzun süre sistemde kalmanın yollarını oluşturur. Bunu, planlanan görevler ve diğer gizli yöntemler oluşturarak, saldırganlar için bir arka kapıyı açık tutabilmesini sağlayarak elde eder. Kötü amaçlı yazılım, bir kayıt defteri ayarını değiştirerek Windows’un kullanıcı hesap kontrolünü (UAC) zayıflatmaya çalışır ve olağan güvenli istemler olmadan daha yüksek ayrıcalıklarla çalışmasına izin verir.
Kötü niyetli LNK dosyalarının kendileri, Base64 formatında yürütülebilir bir program içeren bir .dat dosyasını indiren gizli PowerShell kodu içerir – bu, genellikle tespiti atlamak için kötü amaçlı yazılım tarafından kullanılan normal metin gibi görünmesini sağlamak için veri kodlama yöntemi.
Bu dosya daha sonra, tipik olarak bir PDF simgesi ile gizlenmiş, ancak .PIF uzantısı kullanılarak, alışılmadık ve nadiren kullanılan bir kısayol dosya türü kullanılarak yürütülebilir bir programa çözülür. Bu yürütülebilir dosyalar daha sonra kendi kopyalarını, bir .Url kısayol dosyasını ve hepsi antivirüs algılamasını atlamak için tasarlanmış özel semboller ve anlamsız yabancı metinli dört ağır grup dosyasını oluşturur.
Tamamen çalıştırıldıktan sonra, Remcos saldırganlara tam kontrol sağlar, parola çalmalarını, ekran görüntülerini yakalamalarını, dosyaları kopyalamalarını ve hedeflemelerini iyileştirmek için internet bağlantısını, sistem dilini ve ülke kodlarını kontrol etme de dahil olmak üzere kullanıcı etkinliğini izlemelerini sağlar.
Organizasyonlar ve bireyler, olağandışı kısayollar, garip dosya yolları ve klasör adlarındaki değişiklikleri arayarak uyanık olmaları istenir, çünkü bunlar bir Remcos enfeksiyonunun göstergeleri olabilir.