{"id":21396,"date":"2024-11-11T18:17:31","date_gmt":"2024-11-11T21:17:31","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=21396"},"modified":"2024-11-11T18:24:58","modified_gmt":"2024-11-11T21:24:58","slug":"exploit-permite-a-disseminacao-do-malware-remcos","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2024\/11\/basico\/exploit-permite-a-disseminacao-do-malware-remcos\/","title":{"rendered":"Exploit permite a dissemina\u00e7\u00e3o do malware Remcos"},"content":{"rendered":"\n<p><strong>Exploit em planilha do Excel permite a dissemina\u00e7\u00e3o sem arquivo do Malware Remcos RAT\u00a0<\/strong><\/p>\n<p style=\"text-align: justify;\">Uma nova campanha de phishing foi descoberta por pesquisadores de ciberseguran\u00e7a e desta vez os criminosos est\u00e3o usando um exploit em planilhas do Excel para espalhar uma variante sem arquivo (fileless) do malware comercial Remcos RAT. Este malware que oferece controle remoto de dispositivos, \u00e9 utilizado por cibercriminosos para roubar informa\u00e7\u00f5es sens\u00edveis e realizar atividades maliciosas nos dispositivos das v\u00edtimas.<\/p>\n<p>\u00a0<\/p>\n<p><strong>Como funciona o ataque<\/strong><\/p>\n<p style=\"text-align: justify;\">A campanha de phishing come\u00e7a com um e-mail disfar\u00e7ado de pedido de compra, atraindo os destinat\u00e1rios a abrir um anexo do Microsoft Excel. Esse anexo malicioso explora uma falha de execu\u00e7\u00e3o remota de c\u00f3digo conhecida no Office (CVE-2017-0199), permitindo que o malware seja baixado de um servidor remoto. Em seguida, um arquivo HTA (HTML Application) \u00e9 acionado usando um script do Excel, que, por sua vez, baixa e executa o Remcos RAT.<\/p>\n<p style=\"text-align: justify;\">Para dificultar a detec\u00e7\u00e3o, o arquivo HTA \u00e9 protegido por v\u00e1rias camadas de JavaScript, Visual Basic Script e c\u00f3digo PowerShell. Esses c\u00f3digos ocultos t\u00eam a fun\u00e7\u00e3o de obter e executar um arquivo execut\u00e1vel que inicia o malware. Al\u00e9m disso, essa variante do Remcos RAT n\u00e3o armazena o arquivo localmente, o que o caracteriza como um malware sem arquivo (fileless), sendo executado diretamente na mem\u00f3ria do dispositivo infectado.<\/p>\n<p>\u00a0<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"loaded aligncenter\" title=\"Remcos RAT Malware\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEhUEEXow-OPxMipTSwrVnI2ctfCDdYtIHnM780Qh8qQgyhJ3rnpE3l-8_RieDCO9NNT_MpAZpktFwuLRXr_QWWMD3_xUyHZOfMdLPzPBmE1l3yMwas6oeCbKTHJIjEUjRWTGkWE8G356fqn492yY0y_rtP8TR9ZVmka9xD4IfxFQvM6EFA0C0D91_F6Hmo5\/s728-rw-e365\/hackers.png\" alt=\"Remcos RAT Malware\" width=\"625\" height=\"371\" border=\"0\" data-original-height=\"432\" data-original-width=\"728\" \/><\/p>\n<p>\u00a0<\/p>\n<p><strong>Caracter\u00edsticas do Remcos RAT<\/strong><\/p>\n<p style=\"text-align: justify;\">Remcos RAT \u00e9 uma ferramenta avan\u00e7ada que permite ao invasor controlar remotamente o dispositivo comprometido, executando comandos e roubando dados. Entre as capacidades do malware est\u00e3o:<\/p>\n<ul>\n<li style=\"text-align: justify;\"><strong>Coleta de informa\u00e7\u00f5es sens\u00edveis<\/strong>: Ele pode capturar metadados do sistema, informa\u00e7\u00f5es de arquivos e outros dados valiosos.<\/li>\n<li style=\"text-align: justify;\"><strong>Execu\u00e7\u00e3o de comandos e scripts<\/strong>: Os invasores podem enviar comandos remotamente, controlando diversas fun\u00e7\u00f5es do sistema.<\/li>\n<li style=\"text-align: justify;\"><strong>Manipula\u00e7\u00e3o de processos e servi\u00e7os<\/strong>: \u00c9 poss\u00edvel gerenciar e encerrar processos, modificar servi\u00e7os e at\u00e9 editar o Registro do Windows.<\/li>\n<li style=\"text-align: justify;\"><strong>Controle de dispositivos de entrada e monitoramento<\/strong>: O malware pode capturar o conte\u00fado da \u00e1rea de transfer\u00eancia, alterar o papel de parede, ativar a c\u00e2mera e o microfone, gravar a tela e at\u00e9 desativar o teclado ou o mouse.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">Al\u00e9m disso, o Remcos RAT permite que o atacante baixe e execute cargas adicionais, o que facilita a infec\u00e7\u00e3o de outras variantes de malware, ampliando ainda mais o controle sobre o dispositivo infectado.<\/p>\n<p>\u00a0<\/p>\n<p><strong>DocuSign e outras t\u00e9cnicas de phishing<\/strong><\/p>\n<p style=\"text-align: justify;\">Em outra vertente de ataques, cibercriminosos est\u00e3o utilizando APIs do DocuSign para enviar faturas falsas que parecem aut\u00eanticas. Esse m\u00e9todo consiste em criar contas leg\u00edtimas no DocuSign e personalizar modelos de e-mails e solicita\u00e7\u00f5es de assinatura digital, muitas vezes imitando empresas conhecidas, como a Norton Antivirus. Essas contas permitem aos atacantes enviar faturas falsas que induzem os destinat\u00e1rios a realizar pagamentos para os criminosos.<\/p>\n<p style=\"text-align: justify;\">Esse tipo de phishing \u00e9 ainda mais perigoso, pois se diferencia dos ataques tradicionais. Em vez de usar links maliciosos em e-mails fraudulentos, os criminosos se aproveitam de contas reais do DocuSign para passar despercebidos pelos filtros de seguran\u00e7a, dificultando a detec\u00e7\u00e3o por ferramentas de prote\u00e7\u00e3o.<\/p>\n<p>\u00a0<\/p>\n<p><strong>T\u00e9cnica de concatenamento de arquivos ZIP<\/strong><\/p>\n<p style=\"text-align: justify;\">Os pesquisadores tamb\u00e9m observaram o uso de uma t\u00e9cnica chamada concatena\u00e7\u00e3o de arquivos ZIP, onde esse m\u00e9todo consiste em anexar m\u00faltiplos arquivos ZIP em um \u00fanico arquivo, o que pode confundir os softwares de descompacta\u00e7\u00e3o, como 7-Zip e WinRAR, permitindo que os cibercriminosos escondam malwares nessas concatena\u00e7\u00f5es.<\/p>\n<p style=\"text-align: justify;\">Esse truque explora a maneira como os programas leem e descompactam arquivos ZIP concatenados, o que pode permitir que o malware passe despercebido. Ao aproveitar essa discrep\u00e2ncia entre programas de descompacta\u00e7\u00e3o, os atacantes conseguem esconder suas cargas maliciosas e direcion\u00e1-las a usu\u00e1rios espec\u00edficos, dependendo da ferramenta de compacta\u00e7\u00e3o que eles utilizam.<\/p>\n<p>\u00a0<\/p>\n<p><strong>Casos recentes e outras amea\u00e7as ativas<\/strong><\/p>\n<p style=\"text-align: justify;\">O grupo Venture Wolf, por exemplo, foi recentemente vinculado a ataques direcionados ao setor de manufatura, constru\u00e7\u00e3o, TI e telecomunica\u00e7\u00f5es na R\u00fassia. Eles utilizam o MetaStealer, uma variante do RedLine Stealer, que \u00e9 especializado em roubar credenciais e outras informa\u00e7\u00f5es sens\u00edveis. Esses ataques se destacam por serem altamente direcionados e voltados a setores espec\u00edficos, visando grandes organiza\u00e7\u00f5es e setores industriais.<\/p>\n<p>\u00a0<\/p>\n<p><strong>Prote\u00e7\u00e3o e recomenda\u00e7\u00f5es de seguran\u00e7a<\/strong><\/p>\n<p style=\"text-align: justify;\">Para evitar ataques como os que utilizam o Remcos RAT e outras t\u00e9cnicas avan\u00e7adas de phishing, \u00e9 essencial adotar pr\u00e1ticas de seguran\u00e7a cibern\u00e9tica robustas:<\/p>\n<ul>\n<li style=\"text-align: justify;\"><strong>Cuidado com e-mails de remetentes desconhecidos<\/strong>: Evite abrir anexos de e-mails suspeitos ou que contenham temas de pedidos de compra inesperados.<\/li>\n<li style=\"text-align: justify;\"><strong>Atualize seus programas e sistema operacional<\/strong>: Falhas conhecidas, como a CVE-2017-0199, j\u00e1 possuem corre\u00e7\u00f5es dispon\u00edveis. Manter seus softwares atualizados \u00e9 fundamental.<\/li>\n<li style=\"text-align: justify;\"><strong>Utilize ferramentas de seguran\u00e7a confi\u00e1veis<\/strong>: Invista em antiv\u00edrus com recursos de detec\u00e7\u00e3o de amea\u00e7as avan\u00e7adas, como an\u00e1lise de comportamento e prote\u00e7\u00e3o contra malwares sem arquivo.<\/li>\n<li style=\"text-align: justify;\"><strong>Evite baixar arquivos de fontes desconhecidas<\/strong>: Certifique-se de que os downloads s\u00e3o realizados de sites oficiais ou fontes confi\u00e1veis.<\/li>\n<li style=\"text-align: justify;\"><strong>Habilite prote\u00e7\u00f5es de e-mail corporativas<\/strong>: Empresas devem implementar solu\u00e7\u00f5es de seguran\u00e7a para e-mail, que ajudam a identificar e bloquear campanhas de phishing avan\u00e7adas.<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p><strong>Conclus\u00e3o<\/strong><\/p>\n<p style=\"text-align: justify;\">A evolu\u00e7\u00e3o das t\u00e1ticas de cibercriminosos para driblar os sistemas de seguran\u00e7a demonstra a import\u00e2ncia de uma prote\u00e7\u00e3o constante e atualizada. Com o uso de t\u00e9cnicas como malwares fileless e phishing avan\u00e7ado utilizando servi\u00e7os leg\u00edtimos, \u00e9 cada vez mais crucial que empresas e usu\u00e1rios finais mantenham-se atentos e bem-informados sobre os m\u00e9todos mais recentes de ataque.<\/p>\n<p style=\"text-align: justify;\">Estar ciente dessas amea\u00e7as e seguir boas pr\u00e1ticas de seguran\u00e7a s\u00e3o passos essenciais para reduzir a exposi\u00e7\u00e3o a campanhas de malware e proteger informa\u00e7\u00f5es valiosas contra crimes digitais sofisticados.<\/p>\n<p>\u00a0<\/p>\n<p>Fonte: <a href=\"https:\/\/thehackernews.com\/2024\/11\/cybercriminals-use-excel-exploit-to.html\" target=\"_blank\" rel=\"noopener\">https:\/\/thehackernews.com\/2024\/11\/cybercriminals-use-excel-exploit-to.html<\/a><\/p>\n\n\n","protected":false},"excerpt":{"rendered":"<p>Exploit em planilha do Excel permite a dissemina\u00e7\u00e3o sem arquivo do Malware Remcos RAT\u00a0 Uma nova campanha de phishing foi descoberta por pesquisadores de ciberseguran\u00e7a e desta vez os criminosos est\u00e3o usando um exploit em planilhas do Excel para espalhar uma variante sem arquivo (fileless) do malware comercial Remcos RAT. Este malware que oferece controle [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":21397,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,109,105],"tags":[],"class_list":["post-21396","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-backtrack-brasil-series","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/21396","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=21396"}],"version-history":[{"count":12,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/21396\/revisions"}],"predecessor-version":[{"id":21411,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/21396\/revisions\/21411"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/21397"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=21396"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=21396"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=21396"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}