Новые скрытые вредоносные кампании Remcos нацелены на предприятия и школы

X-Labs компании Forcepoint раскрывает вредоносное ПО Remcos, использующее новые сложные фишинговые письма со взломанных аккаунтов и продвинутые методы уклонения, такие как обход пути, для проникновения в системы, кражи учетных данных и сохранения долгосрочного контроля. Узнайте, как распознать признаки.

Эксперты по кибербезопасности в Forcepoint's X-Labs предупреждают о продолжающейся активности вредоносного ПО Remcos , сложной угрозы, которая постоянно адаптируется для обхода мер безопасности и сохранения скрытого присутствия на зараженных компьютерах. Это вредоносное ПО, часто доставляемое посредством убедительных фишинговых атак, позволяет злоумышленникам устанавливать долгосрочный доступ.

Как сообщается, кампании, наблюдавшиеся в период с 2024 по 2025 год, показывают, что вредоносное ПО Remcos остается очень активным и постоянно адаптируется, чтобы оставаться скрытым, отметили исследователи в сообщении в блоге, опубликованном на Hackread.com.

Первоначальное заражение обычно начинается с мошеннического письма, пришедшего со взломанных аккаунтов малого бизнеса или школ. Это легитимные аккаунты, которые были взломаны, что делает письма заслуживающими доверия и снижает вероятность того, что они будут помечены как подозрительные.

Вредоносное электронное письмо (Источник: Forcepoint)

Эти письма содержат вредоносные файлы ярлыков Windows (.LNK), замаскированные и спрятанные внутри сжатых архивных вложений. Как только пользователь попадается на уловку и открывает вредоносный файл, Remcos незаметно устанавливается, создавая скрытые папки на компьютере жертвы.

Особенно опасными эти папки делает то, что они представляют собой «поддельные каталоги Windows, использующие методы обхода анализа пути, такие как добавление к путям префикса \\?». Этот метод, включающий использование специального префикса пути диспетчера объектов NT, позволяет вредоносному ПО имитировать легитимные системные каталоги, такие как C:\Windows\SysWOW64 , что делает их обнаружение невероятно сложным для средств безопасности.

После первоначальной установки Remcos настраивает способы оставаться в системе в течение длительного времени, не будучи обнаруженным. Он достигает этого, создавая запланированные задачи и другие скрытые методы, гарантируя, что может держать открытым бэкдор для злоумышленников. Вредоносная программа даже пытается ослабить контроль учетных записей Windows (UAC), изменяя настройки реестра, что позволяет ей работать с более высокими привилегиями без обычных безопасных запросов.

Цепочка атак Remcos (Источник: Forcepoint)

Сами вредоносные файлы LNK содержат скрытый код PowerShell , который загружает файл .dat, содержащий исполняемую программу в формате Base64 — метод кодирования данных, позволяющий сделать их похожими на обычный текст, часто используемый вредоносными программами для обхода обнаружения.

Затем этот файл декодируется в исполняемую программу, обычно замаскированную с помощью значка PDF, но использующую расширение .pif, необычный и редко используемый тип файла ярлыка. Затем этот исполняемый файл создает копии самого себя, файл ярлыка .URL и четыре сильно замаскированных пакетных файла со специальными символами и бессмысленным иностранным текстом, все они предназначены для обхода обнаружения антивируса.

После полной готовности Remcos предоставляет злоумышленникам полный контроль, позволяя им красть пароли, делать снимки экрана, копировать файлы и отслеживать активность пользователей, включая проверку интернет-соединения, языка системы и кодов стран для уточнения целей.

Организациям и частным лицам настоятельно рекомендуется быть бдительными, обращая внимание на необычные ярлыки, странные пути к файлам и изменения в именах папок, поскольку они могут быть признаками заражения Remcos.