Andam por aí múltiplas campanhas de malware que tentam instalar a RAT (Remote Administration Tool) Remcos nas vítimas de forma a ganhar acesso ao sistema. Os atacantes estão a usar folhas de Excel e documentos do Word para espalhar o malware.

Esta tool já foi oferecida pela Breaking Security, contendo múltiplas funções de vigilância. Foi primeiramente vista em fóruns de hacking, em 2016, e daí foi sendo atualizada com cada vez mais funcionalidades. A RAT concede total acesso remoto ao atacante e é suportada desde o windows xp a todas as versões, incluindo as edições do Server.

Pontos de contacto do ataque

- O ataque começa com um email de phishing bem desenhado, como se viesse de uma agência governamental da Turquia, relacionado com impostos, e que contém um ficheiro do Word ou Excel em anexo. Neste caso, o ficheiro macro contém um executável. Depois de iniciado, o macros reconstrói o executável e guarda em localizações %Temp% ou %AppData%.

- O executável depois faz download do malware e dá ao atacante o controlo total da máquina infetada. Este malware é capaz de monitorizar o teclado, tirar screenshots, gerir ficheiros, executar comandos, entre outros.

O que nestes casos é recomendado é o uso de uma solução de antivírus eficaz, em conjunto com um antimalware e um antispyware, de forma a detetar os padrões de ação das funções supracitadas e, consequentemente, mitigar a ameaça.