Remcos RAT 通过 Webhards 分发

吉沃运营专员

AhnLab 安全情报中心 (ASEC) 最近在监控韩国恶意软件的分发来源时发现，伪装成成人游戏的 Remcos RAT 恶意软件正在通过网络硬盘进行分发，网络硬盘和种子文件是韩国常用的恶意软件分发平台。

攻击者通常使用易于获取的恶意软件 (例如 njRAT 和 UDP RAT)，并将其伪装成合法程序 (例如游戏或成人内容) 进行分发，类似的案例在之前的 ASEC 博客中已经多次介绍过：

• UDP RAT 恶意软件通过 Webhard 分发
• njRAT 通过 Webhard 和 Torrent 分发
• njRAT 恶意软件通过韩国主要 Webhard 分发
  

如第一张图所示，恶意软件正在使用相同的方法通过多个游戏进行传播。这些帖子都有一个指导，告诉用户运行 Game.exe 文件。

解压文件后，会出现 Game.exe 文件。虽然它看起来像一个常规的游戏启动器，但用于运行游戏的实际 dll 是单独存在的，并且运行 Game.exe 时，恶意 VBS 脚本会与游戏文件一起执行。







如上图所示，www\js\plugins 文件夹中存在带有恶意 VBS 的恶意软件。最终执行的是 ffmpeg.exe 恶意软件。恶意软件执行时的感染流程如下所示



当执行 ffmpeg.exe 时，"sexyz" 字符串被分割，从 test.jpg 中提取加密的二进制文件和密钥值，然后它们被注入到 explorer.exe 中。





注入的恶意软件通过下图所示的 C&C 服务器下载 Remcos RAT，并尝试通过将其注入 ServiceModelReg.exe 来执行其他行为。





如示例所示，用户需要小心，因为恶意软件正在通过文件共享网站 (例如韩国网络硬盘) 积极传播。因此，建议在运行从文件共享网站下载的可执行文件时务必小心。建议用户从官方网站下载程序。

文件

• ffmpeg.exe : 00bfd32843a34abf0b2fb26a395ed2a4
• ffmpeg.dll : 4d04070dee9b27afc174016b3648b06c
• test.jpg : 5193669c2968980c0e88a87fd4bf61c4
• passage.vbs : 2e6796377e20a6ef4b5e85a4ebbe614d
• passage2.vbs : b05de31c9c254eea1be1dc4c5a38672c
• passage.bat : 5574647e6e64cee7986478a31eecbae0
• passage2.bat : 629c21b1eee4e65eb38809302ae029f6
• space.vbs : ee198ab059b0e180757e543ab6e02bed
• sky.vbs : 2f6768c1e17e63f67e173838348dee58
• road.vbs : 36aa180dc652faf6da2d68ec4dac8ddf
  

C&C 服务器

• kyochonchlcken.com/share/Favela.r6map
• kyochonchlcken.com/share/1.exe
• kyochonchlcken.com/share/BankG.r6map