Neue heimliche Remcos-Malware-Kampagnen zielen auf Unternehmen und Schulen ab

Forcepoints X-Labs enthüllt die Remcos-Malware. Sie nutzt neue, trickreiche Phishing-E-Mails von kompromittierten Konten und fortschrittliche Umgehungstechniken wie Pfadumgehung, um Systeme zu infiltrieren, Anmeldeinformationen zu stehlen und die Kontrolle langfristig zu behalten. Erfahren Sie, wie Sie die Anzeichen erkennen.

Cybersicherheitsexperten der Forcepoint X-Labs warnen vor der anhaltenden Aktivität der Remcos-Malware . Diese hochentwickelte Bedrohung passt sich kontinuierlich an, um Sicherheitsmaßnahmen zu umgehen und auf infizierten Computern verborgen zu bleiben. Diese Malware, die häufig durch überzeugende Phishing-Angriffe verbreitet wird, ermöglicht Angreifern den langfristigen Zugriff.

Berichten zufolge zeigen zwischen 2024 und 2025 beobachtete Kampagnen, dass die Remcos-Malware weiterhin hochaktiv ist und sich kontinuierlich anpasst, um verborgen zu bleiben, wie die Forscher in dem mit Hackread.com geteilten Blogbeitrag feststellten.

Die Erstinfektion beginnt typischerweise mit einer irreführenden E-Mail, die von kompromittierten Konten kleiner Unternehmen oder Schulen stammt. Dabei handelt es sich um legitime Konten, die gehackt wurden. Dadurch erscheinen die E-Mails vertrauenswürdig und werden weniger wahrscheinlich als verdächtig eingestuft.

Diese E-Mails enthalten schädliche Windows-Verknüpfungsdateien (.LNK), die in komprimierten Archivanhängen versteckt sind. Sobald ein Benutzer auf den Trick hereinfällt und die schädliche Datei öffnet, installiert sich Remcos unbemerkt und erstellt versteckte Ordner auf dem Computer des Opfers.

Was diese Ordner besonders knifflig macht, ist die Tatsache, dass es sich dabei um gefälschte Windows-Verzeichnisse handelt, die durch Umgehungstechniken zur Pfadanalyse, wie beispielsweise das Präfix \\?, für Pfade verwendet werden. Diese Technik, bei der ein spezielles Pfadpräfix des NT Object Managers verwendet wird, ermöglicht es der Malware, legitime Systemverzeichnisse wie C:\Windows\SysWOW64 zu imitieren, was es für Sicherheitstools unglaublich schwierig macht, sie zu erkennen.

Nach der Erstinstallation ermöglicht Remcos, lange Zeit unbemerkt im System zu verbleiben. Dies wird durch geplante Aufgaben und andere versteckte Methoden erreicht, die Angreifern eine Hintertür offen halten. Die Malware versucht sogar, die Windows-Benutzerkontensteuerung (UAC) durch Änderung einer Registrierungseinstellung zu schwächen, sodass sie mit höheren Berechtigungen ohne die üblichen Sicherheitsabfragen ausgeführt werden kann.

Die schädlichen LNK-Dateien selbst enthalten versteckten PowerShell-Code , der eine DAT-Datei mit einem ausführbaren Programm im Base64-Format herunterlädt – eine Methode zum Kodieren von Daten, damit sie wie normaler Text aussehen. Diese Methode wird häufig von Schadsoftware verwendet, um die Erkennung zu umgehen.

Diese Datei wird dann in ein ausführbares Programm dekodiert, das typischerweise durch ein PDF-Symbol getarnt ist, aber die Erweiterung .pif verwendet, einen ungewöhnlichen und selten verwendeten Dateityp für Verknüpfungen. Diese ausführbare Datei erstellt dann Kopien von sich selbst, eine URL-Verknüpfungsdatei und vier stark getarnte Batchdateien mit Sonderzeichen und bedeutungslosem Fremdtext, die alle darauf ausgelegt sind, die Antivirenerkennung zu umgehen.

Sobald Remcos voll einsatzfähig ist, gibt es Angreifern die vollständige Kontrolle und ermöglicht ihnen, Passwörter zu stehlen, Screenshots aufzunehmen, Dateien zu kopieren und Benutzeraktivitäten zu überwachen, einschließlich der Überprüfung der Internetverbindung, der Systemsprache und der Ländercodes, um ihre Zielvorgaben zu verfeinern.

Organisationen und Einzelpersonen werden dringend gebeten, wachsam zu sein und auf ungewöhnliche Verknüpfungen, seltsame Dateipfade und Änderungen in Ordnernamen zu achten, da diese Anzeichen einer Remcos-Infektion sein können.