В конце лета 2020 года команда Bitdefender Active Threat Control заметила всплеск распространения вредоносного ПО Remcos, причем большинство атак происходило в Колумбии. Хотя это семейство вредоносных программ уже давно известно как киберпреступникам, так и исследователям вредоносных программ, эта новая кампания привлекла наше внимание, поскольку она попадала на компьютеры жертв через фишинговые электронные письма, связанные с финансовыми услугами и информацией COVID-19.
Вредоносное использование Remcos началось еще в 2017 году, поскольку этот троянец удаленного доступа в основном использовался как коммерческими, так и продвинутыми субъектами угроз (такими как Gorgon или APT33). В отличие от предыдущих кампаний, атака в Колумбии использует несколько интересных тактик:
она использует пандемию коронавируса, чтобы заманить жертву открыть спам-сообщение и запустить начальную вредоносную программу;
используется дополнительное информационное наполнение, жестко закодированное в изображениях с помощью стеганографии. Изображения с вредоносным ПО размещаются на популярном сайте вирусных изображений, чтобы обойти черные списки;
в комплект входит несколько уловок для защиты от обратного инжиниринга, которые не дадут покоя лабораториям по борьбе с вредоносным ПО.
Влияние на конфиденциальность
По своей природе троянские программы удаленного доступа представляют собой серьезную угрозу безопасности, поскольку они позволяют злоумышленникам получить полный контроль над устройством и данными жертвы, включая доступ к датчикам, таким как веб-камера или микрофон.
Учетные данные пользователя или данные, хранящиеся в системе, могут попасть в чужие руки и использоваться в дальнейшем для получения доступа к другим учетным записям или шантажа жертвы.
Материал подготовлен в рамках курса «Reverse-Engineering». Если вам интересно узнать подробнее о формате обучения и программе, познакомиться с преподавателем курса — приглашаем на день открытых дверей онлайн. Регистрация здесь.