Повернулася широко відома форма троянського шкідливого ПЗ, яка поширюється через фішингові електронні листи. В них стверджується, що на ваш банківський рахунок, нібито, проводиться оплата. Троян віддаленого доступу Remcos вперше з’явився на підпільних форумах у 2016 році і отримав ряд оновлень впродовж останніх кількох років.
Доступна шахраям всього за $ 58, ця шкідлива програма є засобом крадіжки інформації та спостереження, які можуть робити скріни екранів, красти вміст буферу обміну, отримувати паролі та інший вміст пристрою. Тепер дослідники з Fortinet виявили нову кампанію Remcos – з новим варіантом під назвою «2.5.0 Pro».
Ці атаки починаються зі спроби змусити жертву відкрити шкідливий zip-файл на підставі несправжнього здійснення платежів на банківський рахунок. Користувачі фішингових листів підробляють їх таким чином, що вони дуже подібні на оригінал. Файл .zip є шлюзом до розширення .txt, яке запускає скрипт PowerShell при активації, виконуючи установку шкідливого ПЗ на комп’ютер жертви з Windows. Як частина процесу, віддалений .exe-файл перебуватиме в сплячому режимі протягом 20 секунд, щоб його не виявили перед встановленням в нову папку Windows. Remcos також додає себе в групу автозапуску в системному реєстрі, щоб автоматично запускатись при включенні комп’ютера.
Коли шкідлива програма працює, вона записує всю інформацію, введену в веб-браузері, надаючи інформацію про те, які веб-сайти відвідують користувачі і що вони вводять на сайт, – дозволяючи зловмисникові побачити і вкрасти імена користувачів і паролі. В подільшому, хакери або використовують дані для власних цілей, або продають на веб-форумах.