國家計算機(jī)病毒應(yīng)急處理中心通過對互聯(lián)網(wǎng)的監(jiān)測,發(fā)現(xiàn)一個通過惡意PowerPoint幻燈片傳播Remcos的樣本,該樣本還內(nèi)置了編號為CVE-2017-0199漏洞的利用方法����。Remcos RAT的出現(xiàn)最早可以追溯到2016年,當(dāng)時在黑客論壇里作為一種有償服務(wù)進(jìn)行廣告和銷售�����,曾經(jīng)很多網(wǎng)站和論壇還提供該工具的破解版本���。直至今日����,Remcos仍然是網(wǎng)絡(luò)罪犯們的常用工具并不斷推動其發(fā)展?,F(xiàn)在,Remcos又開始使用釣魚郵件進(jìn)行大肆傳播��。
釣魚郵件背后的惡意攻擊者使用rud-division@alkuhaimi.com這個郵箱和RE: NEW ORDER 573923的主題�����。郵件中包含的惡意附件使用ACE壓縮的文件格式����,Purchase order201900512.ace�,其可以通過Boom.exe進(jìn)行加載和封裝����。
Remcos RAT本來是作為一個讓用戶遠(yuǎn)程控制系統(tǒng)的正規(guī)合法的遠(yuǎn)程訪問工具進(jìn)行銷售的,但最近卻成為了網(wǎng)絡(luò)罪犯的犯罪利器��。一旦該RAT被執(zhí)行�����,入侵者就有能力在用戶的系統(tǒng)中執(zhí)行遠(yuǎn)程命令�����。比如����,在之前的宣傳中���,就說明該工具具有多功能性的特點(diǎn)����,包括下載并執(zhí)行命令����,鍵盤記錄�,屏幕記錄以及使用攝像頭和麥克風(fēng)進(jìn)行錄音錄像等功能�����。
針對該惡意程序所造成的危害���,建議用戶及時給電腦打補(bǔ)丁���,修復(fù)漏洞,關(guān)閉不必要的端口���。不打開來歷不明的郵件中的附件�����。同時���,給電腦安裝安全防護(hù)軟件,以免使電腦受到該惡意程序的危害����。