Le cheval de Troie d’accès à distance (RAT) connu sous le nom de Remcos RAT s’est propagé via des sites Web en le déguisant en jeux pour adultes en Corée du Sud.
WebHard, abréviation de disque dur Internetest un système de stockage de fichiers en ligne populaire utilisé pour télécharger et partager des fichiers dans le pays.
Alors que les webhards ont été utilisés dans le passé pour fournir njRATUDP RAT et malware botnet DDoS, dernière analyse de l’AhnLab Security Emergency Response Center (ASEC) montre que la technique a été adoptée pour distribuer Remcos RAT.
Dans ces attaques, les utilisateurs sont amenés à ouvrir des fichiers piégés en les faisant passer pour des jeux pour adultes qui, une fois lancés, exécutent des scripts Visual Basic malveillants afin d’exécuter un binaire intermédiaire nommé « ffmpeg.exe ».
Cela aboutit à la récupération de Remcos RAT à partir d’un serveur contrôlé par un acteur.
Un RAT sophistiqué, Remcos (alias Remote Control and Surveillance) facilite le contrôle à distance et la surveillance non autorisés des hôtes compromis, permettant aux acteurs malveillants d’exfiltrer des données sensibles.
Ce malware, bien qu’initialement commercialisé par la société allemande Breaking Security en 2016 comme un véritable outil d’administration à distance, s’est métamorphosé en une arme puissante. brandi par les adversaires acteurs pour infiltrer les systèmes et établir un contrôle sans entrave.
« Remcos RAT est devenu un outil malveillant utilisé par les acteurs malveillants dans le cadre de diverses campagnes », Cyfirma noté dans une analyse en août 2023.
« Les capacités multifonctionnelles du malware, notamment l’enregistrement de frappe, l’enregistrement audio, la capture d’écran, etc., mettent en évidence son potentiel à compromettre la confidentialité des utilisateurs, à exfiltrer des données sensibles et à manipuler les systèmes. La capacité du RAT à désactiver le contrôle de compte d’utilisateur (UAC) et à établir la persistance amplifie encore son impact potentiel.