El Equipo de Respuesta ante Incidentes de Seguridad Informática de Chile -CSIRT difundió un comunicado para alertar sobre el “resurgimiento de Remcos” y el aumento de la frecuencia de campañas de phishing que difunden este malware, apuntando principalmente a empresas e instituciones públicas del país vecino.

El organismo también destacó su peligrosidad y dio algunos detalles de las campañas, además de brindar consejos para protegerse.

Ahora bien, hay que recordar que Remcos es el acrónimo de Remote Control & Surveillance Software, una herramienta comercial de acceso remoto que se utiliza justamente para controlar computadoras de forma remota.

Los problemas aparecen cuando el software es utilizado con fines maliciosos, por ejemplo, en campañas de ciberespionaje o piratería.

Diferencia clave

Remote Access Troyan (Troyano para Acceso Remoto) RAT (Remote access tools – Herramientas de Acceso Remoto)
Un programa malicioso que accede de forma remota a los recursos infectados. Los troyanos de este tipo se encuentran entre los más peligrosos porque abren todo tipo de oportunidades para el control remoto del sistema comprometido.
Las capacidades de RAT generalmente incluyen la instalación y eliminación de programas, la manipulación de archivos, la lectura de datos del teclado, el secuestro de cámaras web y la supervisión del portapapeles.  
Programas para el acceso remoto a una computadora u otro dispositivo conectado a Internet o una red local. Las herramientas de administración remota pueden ser parte de un producto de software o venir como utilidades separadas. RAT permite la configuración remota de aplicaciones y dispositivos.
La administración remota es crítica en términos de seguridad de la información. Los desarrolladores emplean herramientas de autorización y cifrado en su implementación.
Los ciberdelincuentes pueden explotar las vulnerabilidades de RAT para ejecutar malware en las computadoras de las víctimas.
Fuente:Encyclopedia.kaspersky

MITRE ATT&CK – Remcos

Técnicas utilizadashttps://attack.mitre.org/software/S0332/
Grupos de APT posiblemente relacionados:  
APT 33https://attack.mitre.org/groups/G0064/                       
Gordon Grouphttps://attack.mitre.org/groups/G0078/  
LazyScripterhttps://attack.mitre.org/groups/G0140/  
-APT-C-36 -https://attack.mitre.org/groups/G0099/

Si bien en este caso la alerta se circunscribe exclusivamente a Chile, no debería interpretarse como una circunstancia aislada, pues se han observado campañas con características similares en varios países de Latinoamérica.

Antecedentes

  • 2020. El equipo de control activo de amenazas de Bitdefender notó un aumento del malware Remcos, y la mayoría de los ataques tuvieron lugar en Colombia. La campaña empleaba correos electrónicos de phishing relacionados con servicios financieros e información de COVID-19.
  • 2021. Operación Spalax. Se trata de ataques dirigidos a instituciones gubernamentales y compañías de Colombia, especialmente de industrias como la energética y la metalúrgica. Se utilizaron tres RAT diferentes: Remcos, njRAT y AsyncRAT.
  • 2022. Operación Pulpo Rojo: El equipo de investigación de ESET Latinoamérica compartió detalles de una campaña de malware dirigida a organizaciones de alto perfil que se llevó adelante entre finales de junio y primeros días de julio de 2022 e involucro varios países de América Latina, pero se concentró principalmente en Ecuador, apuntando a organismos gubernamentales, organizaciones del sector de la salud y compañías privadas de distintas industrias.

Por otra parte, según una investigación del Laboratorio de Amenazas de Netskope sobre las ciberamenazas activas a las que se enfrentan las empresas en Europa, los troyanos son la amenaza más popular en esa parte del mundo, representando el 79% de todo el malware detectado durante los últimos 12 meses, y el 45% de las comunicaciones de Mando y Control procedían del malware Remcos.

Finalmente, es importante destacar que un análisis más profundo exige abordar el tema desde de las posibles motivaciones, en un contexto donde el malware se ofrece como servicio (MaaS) y existe la posibilidad de customizarlo para fines específicos, complejizando aún más la atribución.

Fuentes:

<https://www.csirt.gob.cl/noticias/10cnd23-00100-01/&gt;

<https://www.bitdefender.com/blog/labs/remcos-rat-revisited-a-colombian-coronavirus-themed-campaign/&gt;

<https://www.welivesecurity.com/la-es/2022/08/30/campana-malware-dirigida-organismos-alto-perfil-ecuador/&gt;

<https://www.welivesecurity.com/la-es/2021/01/12/operacion-spalax-ataques-malware-dirigidos-colombia/&gt;

<https://cybersecuritynews.es/las-empresas-europeas-objetivo-principal-de-los-troyanos-a-medida-que-crece-la-migracion-a-la-nube/&gt;