近日,工业和信息化部网络安全威胁和漏洞信息共享平台(CSTIS)监测发现,一种Remcos新型变种正在活跃传播,其利用DonutLoader内存加载技术进行投放。Remcos是一种危险的远程访问木马(RAT),最早发现于2016年。其主要攻击目标为Windows用户,可能导致系统受控、敏感信息泄露、业务中断等风险。
此次发现的Remcos RAT 7.2.1 Pro版本,是Remcos家族首次融合DonutLoader内存加载与AutoIt自动化脚本中间层调度的全链路变种。攻击者首先通过钓鱼邮件诱导用户打开名为Bestellung.CMD的批处理文件,该文件调用系统自带组件(SyncAppvPublishingServer.vbs)作为执行代理,用一段以Base64加密过的恶意命令通过PowerShell在内存里直接执行,并从pCloud云存储下载7Zip工具及加密压缩包;接着,释放JavaScript脚本和AutoIt解释器用于解析恶意PNG文件中的加密数据,解码后得到注入指令;最终将DonutLoader生成的shellcode(一段恶意的二进制代码)注入系统合法进程(colorcpl.exe)中执行Remcos RAT。部署成功后,该恶意软件可进行远程截屏与键盘记录、浏览器及系统凭证窃取、摄像头与麦克风远程激活、文件管理等多种恶意行为。该变种最大特点在于全面借用系统合法工具替代传统恶意组件,融合PowerShell、VBScript、JavaScript三层脚本编码,结合Base64加垃圾数据混淆、XOR单字节解密、密码保护压缩包及进程注入等多种反检测手段,防御拦截难度较此前版本大幅提升。
建议相关单位和用户立即组织排查,及时更新防病毒软件,实施全盘病毒查杀,谨慎点击或下载邮件附件,并可通过及时修复安全漏洞、定期备份数据等措施,防范网络攻击风险。
声明:本文来自网络安全威胁和漏洞信息共享平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
