Zabezpieczenia przed złośliwym oprogramowaniem rozwinęły się już do tego poziomu, że cyberprzestępcy, chcąc uderzyć w najsłabsze ogniwo zabezpieczeń, za cel obierają sobie nie komputer, a człowieka. I o ile początkowo takie ataki były skuteczne głównie wobec osób naiwnych, lub roztrzepanych, tak z czasem stosowane socjotechniki mocno ewoluowały. Remcos RAT to natomiast złośliwe oprogramowanie, które bardzo łatwo zainstalować na komputerze ofiary właśnie za ich pomocą.
Remcos RAT i podstępna socjotechnika
Remcos RAT (Remote Access Trojan) to złośliwe oprogramowanie, które zdobyło popularność w ostatnich latach, stanowiąc poważne zagrożenie dla sieci w Polsce – głównie dla małych i średnich firm. Analizując opisane scenariusze ataku, można wyodrębnić kilka kluczowych aspektów tego zagrożenia. Zacznijmy od tego najważniejszego, czyli od metody ataku. Tu najwyższą efektywność ma podszywanie się pod autentyczną korespondencję e-mail od istniejącej firmy. Początkowo przestępcy włamują się do skrzynki pocztowej firmy współpracującej z docelową ofiarą, aby włączyć się w ciąg wymiany wiadomości e-mail. Mogą to zrobić właśnie za pośrednictwem podobnego ataku z perspektywy klienta.
Następnie, kiedy kontekst wiadomości na to pozwala, wysyłają fałszywy dokument w formacie .doc. Może to być na przykład Zapytanie ofertowe.doc, lub jakakolwiek inna nazwa, która nie budzi podejrzeń. Tutaj kończy się socjotechnika, a zaczyna wykorzystywanie popularnego błędu. Otóż dokument jest spreparowany w taki sposób, że wykorzystuje on podatność CVE-2017-11882 w Edytorze Równań Microsoft Office. W tym przypadku dość dobrym rozwiązaniem problemu wydaje się być korzystanie z alternatywnych pakietów biurowych, które nie mają tej konkretnej podatności.
Jak działa Remcos RAT
No dobrze, mamy spreparowany plik .doc, ale jak to się przekłada na Remcos RAT? No cóż, to również jest dziecinne proste. Otóż po otwarciu zainfekowanego dokumentu złośliwy kod pobiera i uruchamia payload z określonego adresu URL. Ten natomiast zawiera Remcos RAT, który jest swoistym multi narzędziem dla cyberprzestępców. Pozwala on między innymi na kradzież haseł, danych, podglądanie aktywności użytkownika, a nawet na zdalne przejęcie kontroli nad urządzeniem.
Na całe szczęście porządne i zaktualizowane oprogramowanie antywirusowe jest w stanie wykryć i zablokować nie tylko Remcos RAT, ale nawet szkodliwy załącznik. Dlatego tak istotne jest, aby firmy dbały o ten aspekt bezpieczeństwa. Oczywiście konieczne jest także przeszkolenie personelu w tej kwestii. W końcu wciąż się zdarzają mniej przemyślane próby ataków, które łatwo przejrzeć, kierując się odrobiną podejrzliwości i zdrowym rozsądkiem.
Źródło: cert.Orange, YouTube
Twój głos jest dla nas niezwykle istotny i jeżeli masz kilkanaście sekund, to będziemy wdzięczni, jeżeli wypełnisz ankietę, której wyniki zostaną uwzględnione w ogólnopolskim badaniu preferencji użytkowników smartfonów.