Trojan truy cập từ xa (RAT) được gọi là Remcos RAT đã được tìm thấy đang được lan truyền thông qua webhards bằng cách ngụy trang nó thành các trò chơi theo chủ đề người lớn ở Hàn Quốc.
WebHard, viết tắt của ổ cứng web, là một hệ thống lưu trữ tệp trực tuyến phổ biến được sử dụng để tải lên, tải xuống và chia sẻ tệp trong nước.
Trong khi webhards đã được sử dụng trong quá khứ để phân phối phần mềm độc hại botnet njRAT, UDP RAT và DDoS, phân tích mới nhất của Trung tâm Ứng phó Khẩn cấp Bảo mật AhnLab (ASEC) cho thấy kỹ thuật này đã được áp dụng để phân phối Remcos RAT.
Trong các cuộc tấn công này, người dùng bị lừa mở các tệp bị mắc kẹt bằng cách chuyển chúng thành trò chơi người lớn, khi được khởi chạy, thực thi các tập lệnh Visual Basic độc hại để chạy một tệp nhị phân trung gian có tên là "ffmpeg.exe".
Điều này dẫn đến việc truy xuất Remcos RAT từ một máy chủ do tác nhân điều khiển.
Một RAT tinh vi, Remcos (hay còn gọi là Điều khiển và giám sát từ xa) tạo điều kiện điều khiển từ xa trái phép và giám sát các máy chủ bị xâm nhập, cho phép các tác nhân đe dọa trích xuất dữ liệu nhạy cảm.
Phần mềm độc hại này, mặc dù ban đầu được bán trên thị trường bởi công ty Breaking Security có trụ sở tại Đức vào năm 2016 như một công cụ quản trị từ xa, đã biến thành một vũ khí mạnh mẽ được sử dụng bởi các tác nhân đối thủ để xâm nhập vào hệ thống và thiết lập quyền kiểm soát không bị cản trở.
"Remcos RAT đã phát triển thành một công cụ độc hại được sử dụng bởi các tác nhân đe dọa trong các chiến dịch khác nhau", Cyfirma lưu ý trong một phân tích vào tháng 8/2023.
"Khả năng đa chức năng của phần mềm độc hại, bao gồm keylogging, ghi âm, chụp ảnh màn hình và hơn thế nữa, làm nổi bật khả năng xâm phạm quyền riêng tư của người dùng, trích xuất dữ liệu nhạy cảm và thao túng hệ thống. Khả năng của RAT trong việc vô hiệu hóa Kiểm soát tài khoản người dùng (UAC) và thiết lập sự kiên trì tiếp tục khuếch đại tác động tiềm tàng của nó.