你的电脑可能在不知情中被人远程打开摄像头。工信部网络安全威胁和漏洞信息共享平台(CSTIS)6月30日通报,一种Remcos远程访问木马的新变种正在活跃传播,首次融合了两项隐蔽加载技术,让防御难度大幅提升。
Remcos这个“老面孔”早在2016年就出现了,专盯Windows用户下手。一旦得手,攻击者能远程截屏、记录键盘输入、窃取浏览器和系统里存的密码,甚至悄悄激活摄像头和麦克风。这次冒出来的7.2.1 Pro版本,把DonutLoader内存加载和AutoIt自动化脚本调度串成了一条完整的攻击链,算是Remcos家族头一回这么干。
攻击套路从一封钓鱼邮件开始。邮件里带个叫Bestellung.CMD的批处理文件,用户一点开,它就调用系统自带的SyncAppPublishingServer.vbs当代理,随后PowerShell在内存里直接执行一段Base64加密过的恶意命令。接着从pCloud云存储拉下7Zip工具和加密压缩包,解出JavaScript脚本和AutoIt解释器,再解析恶意PNG图片里藏着的加密数据,解码出注入指令。最后一步,DonutLoader生成的shellcode注入到系统合法进程colorcpl.exe里,Remcos RAT就算彻底“住”进来了。
这套打法的狠处在于,全程都用系统自带的合法工具干活,什么PowerShell、VBScript、JavaScript三层脚本套着用,再加上Base64混垃圾数据、XOR单字节解密、密码保护压缩包和进程注入,全是反检测的路数。跟以前的版本比,拦截难度上了好几个台阶。
CSTIS建议相关单位马上排查,更新防病毒软件做全盘查杀,别随便点邮件附件。再补一句老生常谈但管用的:安全漏洞及时修,数据定期备一份,真中招了也不至于两眼一黑。
热门跟贴