С начала лета системы «Лаборатории Касперского» фиксируют увеличение детектов трояна для удаленного доступа Remcos. Вероятная причина тому — волна рассылок вредоносных писем, в которых злоумышленники пытаются убедить сотрудников различных компаний перейти по ссылке для загрузки зловреда.
Вредоносные письма
Сама по себе уловка, которой пытаются воспользоваться злоумышленники, не нова. Они пишут от имени нового клиента, который хочет приобрести товары или услуги и пытается уточнить какую-то информацию: наличие или цену товаров по списку, соответствие их каким-то критериям и так далее. Главное, что для уточнения информации получатель должен перейти по ссылке и прочитать список этих самых критериев или требований. Для убедительности в письме часто спрашивают, как быстро получится организовать поставку, интересуются условиями международной доставки. Разумеется, по ссылке переходить не следует — она ведет не на список, а на вредоносный скрипт.
Интересно место, выбранное злоумышленниками для хранения своего вредоносного скрипта. Ссылки имеют адрес вида https://cdn.discordapp.com/attachments/. Дело в том, что Discord — это вполне легитимная платформа, позволяющая обмениваться мгновенными сообщениями, совершать аудио- и видео-звонки, а главное пересылать различные файлы. Пользователь Discord может кликнуть на любой файл, пересланный через это приложение, и получить ссылку, по которой он будет доступен внешнему пользователю (это нужно чтобы, например, быстро поделиться файлом в другом мессенджере). Именно эти ссылки и выглядят как https://cdn.discordapp.com/attachments/ плюс некий набор цифр, идентифицирующий конкретный файл.
Discord активно используют различные игровые сообщества, но иногда он применяется и компаниями для общения внутри различных команд и отделов или даже для связи с клиентами. Поэтому часто фильтры, отслеживающие вредоносный контент в письмах, не считают ссылки на файлы, хранящиеся на серверах Discord, подозрительными. По факту же, если получатель письма решит перейти по такой ссылке, то он, по сути, скачает вредоносный JavaScript с названием, имитирующим документ с информацией. Когда жертва попробует открыть этот файл, вредоносный скрипт запустит powershell, который, в свою очередь, загрузит Remcos RAT на устройство пользователя.
Что такое Remcos RAT и чем он опасен?
Теоретически Remcos или полностью Remote Control and Surveillance — это программа для удаленного администрирования, выпускаемая некоей компанией Breaking Security. Но ей уже достаточно давно пользуются злоумышленники для шпионажа и захвата контроля над компьютерами под управлением Windows. Например, в 2020 году мы писали о применении Remcos во вредоносных рассылках, которые паразитировали на теме задержек с доставками товаров во время пандемии коронавируса.
Remcos RAT собирает данные о компьютере жертвы и о его пользователе, а далее служит в качестве бэкдора, через который злоумышленники могут полностью контролировать систему. Загружать дополнительный вредоносный софт и запускать его, собирать учетные данные, записывать логи активности пользователя и так далее.
Как оставаться в безопасности
Для того чтобы вредоносные рассылки зловреда Remcos не причиняли вреда вашей компании, мы рекомендуем использовать надежные защитные решения как на уровне почтового шлюза, так и на всех рабочих устройствах, имеющих доступ к Интернету. Таким образом почтовые вредоносные рассылки будут выявлены еще до того, как попадут в почтовые ящики сотрудников. Но даже если злоумышленники придумают новый метод доставки Remcos на корпоративные компьютеры, наши решения для защиты конечных устройств не дадут скачать его на компьютер. Kaspersky Endpoint Security детектирует Remcos как Backdoor.MSIL.Remcos или Backdoor.Win32.Remcos.