Remcos: il software legittimo diffuso in Italia come RAT

Remcos è un software legittimo per il controllo remoto dei dispositivi. In Italia è spesso diffuso come RAT con l’inganno tramite campagne malware mirate.

Prima di tutto le presentazioni: che cosa è Remcos?
Remcos è software legittimo per il controllo e la gestione di un dispositivo da remoto. Appartiene ad un’azienda tedesca e consente la gestione remota di dispositivi che eseguono sistemi operativi Windows. Purtroppo è ampiamente usato dai cyber attaccanti in molteplici forme e campagne dannose.

Non è una novità che vi siano tool legittimi utilizzati a fini illegittimi. Un esempio? Bitlocker è una funzionalità di sicurezza di Windows che consente la criptazione di interi volumi proprio in funzione di “anti furto” dei dati. Eppure Bitlocker è stato utilizzato per le motivazioni opposte: rubare e prendere in ostaggio i dati richiedendo riscatti alle vittime per riportare in chiaro i file.

Viene distribuito come Remote Access Trojan tramite campagne email truffaldine, spesso tramite l’uso di downloader come Batloader.

Una (delle tante) catene di infezione di Remcos
Una (delle tante) catene di infezione di Remcos. Fonte: SentinelOne
La campagne di distribuzione in Italia
Come detto, Remcos è spesso in distribuzione in Italia, anche se a cadenza del tutto irregolare. Ultimamente però gli esperti del CERT hanno notato come le campagne di distribuzione di Remcos stiano aumentando di numero e intensità.

Il 20 Novembre, con una segnalazione sul canale Telegram, il CERT ha notificato l’ennesima campagna a tema Agenzia delle Entrate.

Fonte: Canale Telegram CERT- AGID
L’email, in questo caso, contiene un link che in realtà punta al download di un file ZIP. Questo file ZIP contiene un file URL che punta ad un SMB (in questo caso con IP russo). Da qui viene scaricato ed eseguito il malware.

Il file contenuti nello ZIP
Fonte: Canale Telegram CERT- AGID
Anche il ricercatore di sicurezza JAMESWT ha individuato campagne di distribuzione di Remcos a tema Agenzia delle Entrate.

Campagna di distribuzione di Remcos a tema Agenzia delle Entrate
Fonte: JAMESWT
Campagna di distribuzione di Remcos a tema Agenzia delle Entrate
Fonte: JAMESWT
Pur cambiando corpo ed oggetto email, la catena di infezione è invariata. Il corpo email contiene un link che conduce al download di un file ZIP. Questo archivio contiene un file URL che punta ad un SMB dal quale viene scaricato ed eseguito il malware.

L'eseguibile di Remcos
Fonte: JAMESWT

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy