Remcos RAT olarak bilinen uzaktan erişim truva atının (RAT), Güney Kore’de yetişkin temalı oyunlar olarak gizlenerek webhard’lar aracılığıyla yayıldığı tespit edildi.
WebHard, kısaltması web sabit diskiülkede dosya yüklemek, indirmek ve paylaşmak için kullanılan popüler bir çevrimiçi dosya depolama sistemidir.
Webhard’lar geçmişte teslimat yapmak için kullanılmış olsa da njRATUDP RAT ve DDoS botnet kötü amaçlı yazılımı, AhnLab Güvenlik Acil Durum Müdahale Merkezi’nin (ASEC) en son analizi gösteriler tekniğin Remcos RAT’ı dağıtmak için benimsendiği.
Bu saldırılarda kullanıcılar, bubi tuzaklı dosyaları yetişkin oyunları gibi göstererek kandırılıyor ve bu oyunlar başlatıldığında “ffmpeg.exe” adlı bir ara ikili dosyayı çalıştırmak için kötü amaçlı Visual Basic komut dosyalarını çalıştırıyor.
Bu, Remcos RAT’ın aktör kontrollü bir sunucudan alınmasıyla sonuçlanır.
Gelişmiş bir RAT olan Remcos (diğer adıyla Uzaktan Kontrol ve Gözetim), güvenliği ihlal edilmiş ana bilgisayarların yetkisiz uzaktan kontrolünü ve gözetimini kolaylaştırarak tehdit aktörlerinin hassas verileri sızdırmasına olanak tanır.
Bu kötü amaçlı yazılım, ilk olarak 2016 yılında Almanya merkezli Breaking Security firması tarafından iyi niyetli bir uzaktan yönetim aracı olarak pazarlanmasına rağmen, güçlü bir silaha dönüştü. düşmanlar tarafından kullanıldı aktörlerin sistemlere sızmasını ve sınırsız kontrol kurmasını sağlar.
Cyfirma, “Remcos RAT, tehdit aktörleri tarafından çeşitli kampanyalarda kullanılan kötü amaçlı bir araca dönüştü.” kayıt edilmiş Ağustos 2023’te yapılan bir analizde.
“Kötü amaçlı yazılımın tuş kaydı, ses kaydı, ekran görüntüsü yakalama ve daha fazlasını içeren çok işlevli yetenekleri, kullanıcı gizliliğini tehlikeye atma, hassas verileri sızdırma ve sistemleri manipüle etme potansiyelini vurguluyor. RAT’ın Kullanıcı Hesabı Denetimini (UAC) devre dışı bırakma ve kalıcılık sağlama yeteneği, bu özelliği daha da güçlendiriyor potansiyel etkisi.”