REMCOS RAT DISTRIBUIDO SIGILOSAMENTE A DIVERSAS EMPRESAS DE COLOMBIA

26/12/2023

Descripción

En esta campaña, los ciberdelincuentes han utilizado técnicas avanzadas de evasión y ofuscación para distribuir el troyano de acceso remoto (RAT) Remcos.

En esta campaña, los ciberdelincuentes utilizan el nombre de organizaciones legítimas colombianas para enviar correos electrónicos que incluyen técnicas de persuasión con el fin de que los correos parecieran legítimos. Entre los temas utilizados se encuentran notificaciones urgentes, informes de deudas vencidas y otras ofertas atractivas. Además, los correos contienen archivos comprimidos en formatos ZIP, RAR o TGZ.

Vector de infección

Como se mencionó anteriormente, en esta campaña de phishing, los ciberdelincuentes envían correos electrónicos fraudulentos a empresas en Colombia, haciéndose pasar por entidades legítimas. Estos correos contienen archivos comprimidos con documentos supuestamente importantes. Al abrir el archivo, se ejecutan scripts de PowerShell ofuscados, que a su vez cargaban en la memoria dos módulos .NET. Estos módulos permiten a Remcos RAT operar de manera sigilosa y cargar su carga útil directamente en la memoria, eludiendo así las defensas de seguridad tradicionales.

Recomendaciones

La amenaza analizada puede ser mitigada o detectada en su infraestructura tecnológica aplicando las siguientes recomendaciones:

• Verificar cada uno de los indicadores de compromiso (IoC) adjuntos en el presente producto los cuales pueden ser implementados en sus sistemas de seguridad perimetral; por lo anterior, el equipo del Csirt Financiero recomienda validar que no se interrumpa la disponibilidad de la operación y/o prestación de sus servicios.
• Implementar la segmentación de red ya que puede ayudar a limitar la propagación del malware en caso de un ataque

Leer noticia: https://research.checkpoint.com/2023/guarding-against-the-unseen-investigating-a-stealthy-remcos-malware-attack-on-colombian-firms/