Remcos использует метод распространения через скрытый загрузчик IDAT Loader.
По данным отчета Morphisec, украинские организации, расположенные в Финляндии, стали мишенью кампании распространения вредоносного программного обеспечения для Remcos RAT.Нападение приписывается группировке UAC-0184.
Троян удаленного доступа Remcos RAT доставляется с помощью загрузчика IDAT Loader. Фишинговая кампания предполагает использование ловушек на военную тематику в качестве стартовой точки для запуска цепочки заражения, приводящей к развертыванию IDAT Loader, который, в свою очередь, использует встроенный алгоритм стеганографии PNG-изображений, чтобы найти и извлечь Remcos RAT. Remcos RAT позволяет злоумышленнику контролировать зараженный компьютер, похищать личную информацию и наблюдать за действиями жертвы.
В ходе атаки использовались фишинговые письма, имитировавшие сообщения от Израильских оборонных сил, и использовали сложные методы маскировки.
Этот метод распространения троянов является инновационным, так как он использует PNG-изображения в качестве способа скрыть и доставлять вредоносные файлы. Это вызывает определенный интерес у исследователей безопасности, так как скрытные загрузчики становятся все более популярными методами доставки троянов.
Для защиты от атак с использованием IDAT Loader и Remcos RAT рекомендуется следующее:
1. Регулярно обновлять антивирусное программное обеспечение для обеспечения защиты от известных уязвимостей и вредоносных программ.
2. Использовать сферу ответственности (сфера доверия) для блокирования подозрительных URL-адресов и файлов.
3. Обучать сотрудников опасностях фишинговых атак и необходимости проверки источника любой подозреваемой корреспонденции.
Следует отметить, что борьба с развивающимися угрозами, как Remcos RAT, требует постоянного обновления методов защиты и понимания новых технологий, используемых злоумышленниками.
