روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ از ابتدای تابستان سال جاری، سیستم‌های کسپرسکی در حال ثبت روند افزایشی شناسایی حملات تروجان دسترسی ریموت به نام Remcos هستند. دلیل احتمالی‌اش موج ایمیل‌های مخربی است که در آن‌ها مهاجمین سعی دارند کارمندان شرکت‌های مختلف را متقاعد کنند روی لینکی برای نصب بدافزار کلیک کنند. با ما همراه باشید.

نامه‌های مخرب

طعمه‌ای که مهاجمین در حال استفاده از آن هستند چیز شوک‌دهنده‌ای هم نیست: آن‌ها خود را جای کلاینتی می‌زنند که می‌خواهد یک سری محصول یا خدمات بخرد و سعی دارد اطلاعاتی را شفاف‌سازی کند: موجود بودن محصول یا قیمت آن، مطابقت محصولات با برخی معیارها یا چیزهایی از این دست. آنچه اهمیت دارد این است که گیرنده باید روی لینک کلیک کرده و فهرسی از این معیارها یا الزامات را بخواهند. برای متقاعدکننده‌تر جلوه دادن این نامه‌ها، مجرمان سایبری اغلب می‌پرسند سرعت ارسال کالاها قدر بوده یا شرایط تحویل بسته بین‌المللی به چه صورت است. اغلب شما نباید لینک را فالو کنید- به آن فهرست ختم نمی‌شود بلکه سر و کارتان به اسکریپتی مخرب می‌افتد. مهاجمین اسکریپت مخرب خود را در مکانی جالب ذخیره می‌کنند. لینک‌ها آدرسی دارند که چیزی شبیه به https://cdn.discordapp.com/attachments/ است.

دیسکورد یک پلت‌فرم تماماً قانونی است که به کاربران اجازه تبادل پیام‌های فوری، انجام تماس‌های صوتی و ویدیویی و مهمتر از همه ارسال فایل‌های مختلف را می‌دهد. یک کاربر دیسکوردی می‌تواند روی هر فایلی که از طریق این اپ ارسال شده کلیک کرده و لینکی دریافت کند که آن را برای کاربر خارجی موجود می‌سازد (این بعنوان مثال برای اشتراک‌گذاری سریع فایل از طریق مسنجر دیگر لازم است). همین لینک‌ها هستند که شبیه به https://cdn.discordapp.com/attachments/ هستند با یک سری عدد که فایل مشخصی را شناسایی می‌کنن. دیسکورد به شدت توسط جوامع مختلف گیم مورد استفاده قرار می‌گیرد اما گاهی شرکت‌ها هم برای ارتباط‌گیری داخل تیم‌های مختلف و دپارتمان‌ها یا حتی مشتریان از آن استفاده می‌کنند. از این رو، سیستم‌هایی که در ایمیل‌ها محتوای مخرب را فیلتر می‌کنند اغلب لینک‌هایی را که به فایل‌های ذخیره‌شده روی سرورهای دیسکود ختم می‌شوند «مشکوک» تلقی نمی‌کنند. بر همین اساس، اگر گیرنده نامه تصمیم به فالو کردن لینکی بگیرد، در حقیقت جاوااسکریپتی را که فایل متنی را تقلید کرده دانلود خواهد کرد. وقتی قربانی این فایل را باز کند، اسکریپت مخرب پاورشلی را لانچ می‌کند که در عوض Remcos RAT را در کامپیوتر کاربر دانلود خواهد کرد.

Remcos RAT چیست و چرا خطرناک است؟

به لحاظ تئوری، Remcos RAT یا همان Remote Control and Surveillance برنامه‌ای است برای ادمین ریموت که توسط شرکتی به نام Breaking Security منتشر شد. اما مدت‌ها برای جاسوسی و گرفتن کنترل کامپیوترهایی که ویندوز اجرا می‌کردند توسط مهاجمین استفاده شده است. برای مثال در سال 2020 در مورد استفاده از Remcos RAT در میلینگ‌های مخربی که تأخیرهای شایع در تحویل کالاها در طول پاندمی کرونا را اکسپلویت می‌کردند نوشتیم. Remcos RAT داده‌هایی در مورد هم قربانی و هم کامپیوترش را جمع کرده و بک‌دری را به خدمت می‌گیرد که از طریق آن مهاجمین می‌توانند کنترل کل دستگاه را به دست گیرند. آن‌ها نرم‌افزارهای مخرب اضافی را دانلود و اجرا کرده، داده‌های اکانت را جمع، لاگ‌های فعالیت کاربری را ثبت کرده و کلی امور دیگر از این دست انجام می‌دهند.

چطور ایمن بمانیم؟

برای تضمین اینکه بدافزار Remcos به شرکت شما آسیبی نمی‌رساند توصیه می‌کنیم از راهکارهای امنیتی قابل اعتمادی هم در سطح دروازه میل و هم روی همه دستگاه‌های کاری که به اینترنت دسترسی دارند استفاده کنید. در نتیجه ایمیل‌های مخرب پیش از رسیدن به میل‌باکس‌های کارمندان شناسایی خواهند شد اما حتی اگر مهاجمین متود تحویل جدیدی دست و پا کنند هم باز راهکارهای محافظت اندپوینت ما اجازه دانلود را نخواهند داد. Kaspersky Endpoint Security تروجان Remcos RAT را بعنوان Backdoor.MSIL.Remcos or Backdoor.Win32.Remcos شناسایی کرد.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.