近日,工业和信息化部网络安全威胁和漏洞信息共享平台(CSTIS)监测到一种Remcos RAT恶意软件新变种持续活跃,主要以Windows用户为攻击目标,可能导致敏感信息泄露、勒索攻击、业务中断等风险。
Remcos RAT最早出现于2016年,是一种使用高级技术感染 Windows 系统、窃取数据并获得远程控制权的远程访问木马。该恶意软件主要利用欺骗性钓鱼邮件附件(如OLE Excel格式的订单通知文档等),诱骗用户打开文件并利用已知漏洞下载、部署、执行恶意代码,实现对目标系统的远程控制,向控制端服务器发送包含受感染系统用户、网络和版本信息的注册数据包,并接收用于收集信息、执行命令、操作文件、键盘记录、屏幕录像的命令。在感染目标系统过后,Remcos RAT新变体采用多层混淆、修改注册表添加自启动项、反调试技术、进程空洞化(Process Hollowing,恶意软件将合法进程内存清空,再注入恶意代码,伪装成合法程序并隐蔽运行)等多种持久性机制和先进的反分析技术以逃避检测,实现长期驻留于已感染系统中。
建议相关单位和用户立即组织排查,及时更新防病毒软件,实施全盘病毒查杀,警惕来源不明的邮件或文档,并可通过保持软件更新,及时修复安全漏洞,定期备份数据等措施,防范网络攻击风险。
声明:本文来自网络安全威胁和漏洞信息共享平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
