Die Remote Access Trojan (RAT) bekannt als Remcos RAT wurde entdeckt, wie sie über WebHards verbreitet wird, indem sie sich als Erwachsenenspiele in Südkorea tarnt.
WebHard, kurz für Web-Festplatte, ist ein beliebtes Online-Dateispeichersystem, das in dem Land zum Hochladen, Herunterladen und Teilen von Dateien verwendet wird.
Während WebHards in der Vergangenheit verwendet wurden, um njRAT, UDP RAT und DDoS-Botnet-Malware zu verbreiten, zeigt die neueste Analyse des AhnLab Security Emergency Response Center (ASEC), dass die Technik zur Verbreitung von Remcos RAT verwendet wurde.
Bei diesen Angriffen werden die Benutzer dazu verleitet, präparierte Dateien als Erwachsenenspiele zu öffnen, die beim Start schädliche Visual Basic Scripts ausführen, um eine Zwischen-Binärdatei mit dem Namen „ffmpeg.exe“ auszuführen.
Dies führt zur Erholung von Remcos RAT von einem server der Angreifer.
Als ausgefeilter RAT ermöglicht Remcos (auch Remote Control and Surveillance genannt) eine nicht autorisierte Fernsteuerung und Überwachung von kompromittierten Hosts und ermöglicht den Angreifern den Diebstahl sensibler Daten.
Obwohl diese Malware ursprünglich von dem in Deutschland ansässigen Unternehmen Breaking Security aus dem Jahr 2016 als legitimes Remote Administration Tool vermarktet wurde, hat es sich zu einer mächtigen Waffe entwickelt, die von Gegnern eingesetzt wird, um Systeme zu infiltrieren und uneingeschränkte Kontrolle zu erlangen.
„Remcos RAT hat sich zu einem bösartigen Werkzeug entwickelt, das von Angreifern in verschiedenen Kampagnen eingesetzt wird“, so Cyfirma in einer Analyse im August 2023.
„Die multifunktionalen Fähigkeiten der Malware, wie beispielsweise Tastenprotokollierung, Audioaufnahme, Maßnahmen zum Abfangen von Screenshots und mehr, verdeutlichen ihr Potenzial zur Kompromittierung der Benutzerdaten, zum Abfluss sensibler Daten und zur Manipulation von Systemen. Die Fähigkeit des RAT, die Benutzerkontensteuerung (UAC) zu deaktivieren und Beständigkeit herzustellen, verstärkt das potenzielle Ausmaß des Schadens zusätzlich.“