Se ha descubierto que el troyano de acceso remoto (RAT) conocido como Remcos RAT se propaga a través de webhards disfrazándolo de juegos con temas para adultos en Corea del Sur.
WebHard, abreviatura de disco duro webes un popular sistema de almacenamiento de archivos en línea que se utiliza para cargar, descargar y compartir archivos en el país.
Si bien los webhards se han utilizado en el pasado para entregar njRATUDP RAT y malware de botnet DDoS, el último análisis del Centro de respuesta a emergencias de seguridad de AhnLab (ASEC) muestra que la técnica ha sido adoptada para distribuir Remcos RAT.
En estos ataques, se engaña a los usuarios para que abran archivos trampa haciéndolos pasar por juegos para adultos que, cuando se inician, ejecutan scripts maliciosos de Visual Basic para ejecutar un binario intermedio llamado «ffmpeg.exe».
Esto da como resultado la recuperación de Remcos RAT de un servidor controlado por el actor.
Remcos (también conocido como Control Remoto y Vigilancia), una RAT sofisticada, facilita el control remoto y la vigilancia no autorizados de hosts comprometidos, lo que permite a los actores de amenazas filtrar datos confidenciales.
Este malware, aunque originalmente comercializado por la firma alemana Breaking Security en 2016 como una auténtica herramienta de administración remota, se ha metamorfoseado en un arma potente. ejercido por adversarios actores infiltrarse en los sistemas y establecer un control irrestricto.
«Remcos RAT se ha convertido en una herramienta maliciosa empleada por actores de amenazas en varias campañas», Cyfirma anotado en un análisis de agosto de 2023.
«Las capacidades multifuncionales del malware, que incluyen registro de teclas, grabación de audio, captura de pantalla y más, resaltan su potencial para comprometer la privacidad del usuario, filtrar datos confidenciales y manipular sistemas. La capacidad de la RAT para desactivar el Control de cuentas de usuario (UAC) y establecer persistencia se amplifica aún más. su potencial impacto.»