remcos-rat - RunkIntel

# Remcos RAT > Tipo: **RAT comercial** - S0332 - Breaking-Security - amplamente abusado por grupos APT e cibercriminosos desde 2016 > [!high] RAT Comercial Mais Prevalente de 2024 - Blind Eagle LATAM > **Remcos RAT** (Remote Control and Surveillance) é um trojan de acesso remoto comercial desenvolvido pela empresa **Breaking-Security** e vendido como ferramenta legítima de administração remota. Apesar do posicionamento comercial, tornou-se uma das ferramentas de ataque mais abusadas globalmente - classificado pelo ANY.RUN como o **malware mais prevalente em janeiro de 2024**. No LATAM, é a ferramenta preferida do grupo **Blind Eagle** (APT-C-36) em campanhas contra Colômbia, Equador e Brasil. ## Visão Geral [[remcos-rat|Remcos RAT]] é um trojan de acesso remoto (RAT) de origem europeia, desenvolvido e comercializado pela empresa **Breaking-Security** desde 2016. Embora vendido como software legítimo de administração remota com preços a partir de 58 EUR, o Remcos é amplamente abusado por grupos de ameaça de todos os níveis - desde cibercriminosos oportunistas até grupos APT com nexo estatal. O MITRE ATT&CK registra o Remcos como **S0332**. O Remcos oferece um conjunto abrangente de capacidades de vigilância e controle: keylogging, captura de tela, gravação de áudio e vídeo via microfone e câmera, acesso remoto à área de trabalho, roubo de credenciais de browser e gerenciamento completo do sistema de arquivos. A comunicação com o servidor C2 é cifrada com **AES-128** e encapsulada em TLS, dificultando a inspeção por soluções de segurança de rede. Versões recentes (4.x) implementam bypass de UAC via manipulação de COM objects para execução elevada sem prompt ao usuário. No contexto do LATAM, o Remcos é a ferramenta de eleição do grupo [[g0099-blind-eagle-apt-c-36|Blind Eagle]] (também rastreado como [[g0099-blind-eagle-apt-c-36|APT-C-36]]), um ator de ameaça de língua espanhola especializado em ciberespionagem contra alvos governamentais, financeiros e telecomúnicações na Colômbia, Equador, Chile e Brasil. As campanhas do Blind Eagle utilizam phishing em português e espanhol com lures relacionados a notificações fiscais, ordens judiciais e documentos governamentais. **Plataformas:** Windows ## Como Funciona 1. **Phishing direcionado:** O Remcos é distribuído via emails de phishing ([[t1566-001-spearphishing-attachment|T1566.001]]) com anexos maliciosos - tipicamente documentos Office com macros, PDFs com exploits ou arquivos comprimidos contendo executáveis disfarçados ([[t1204-002-malicious-file|T1204.002]]). 2. **Execução e bypass UAC:** O payload executa via PowerShell ([[t1059-001-powershell|T1059.001]]) e implementa bypass de UAC ([[t1548-002-bypass-user-account-control|T1548.002]]) via manipulação de COM objects para obter privilégios elevados sem prompt ao usuário. 3. **Injeção de processo:** O Remcos injeta-se em processos legítimos como `RegAsm.exe` ou `vbc.exe` ([[t1055-process-injection|T1055]]) para mascarar sua execução. 4. **Persistência:** Adiciona chaves de registro em `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]) para sobreviver a reinicializações. 5. **Vigilância e coleta:** Executa keylogging ([[t1056-001-keylogging|T1056.001]]), captura telas ([[t1113-screen-capture|T1113]]), rouba credenciais de browsers ([[t1555-003-credentials-from-web-browsers|T1555.003]]) e transmite dados ao C2 via AES-128/TLS ([[t1573-001-symmetric-cryptography|T1573.001]]). ```mermaid graph TB A["Phishing LATAM Notificação fiscal ou judicial T1566.001 - Documento malicioso"] --> B["Execução Payload PowerShell ou VBA macro T1059.001 + T1204.002"] B --> C["Bypass UAC COM object manipulation T1548.002 - Elevação silenciosa"] C --> D["Process Injection RegAsm.exe ou vbc.exe T1055 - Mascaramento"] D --> E["Persistência Registry Run Key T1547.001 - Sobrevive reboot"] E --> F["Vigilância Completa Keylog + screen + mic + cam T1056.001 + T1113"] F --> G["Exfiltração AES-128 TLS ao C2 T1573.001 + T1071.001"] classDef phishing fill:#c0392b,color:#fff classDef exec fill:#e67e22,color:#fff classDef priv fill:#8e44ad,color:#fff classDef inject fill:#2980b9,color:#fff classDef persist fill:#27ae60,color:#fff classDef spy fill:#d35400,color:#fff classDef exfil fill:#2c3e50,color:#fff class A phishing class B exec class C priv class D inject class E persist class F spy class G exfil ``` ## Timeline ```mermaid timeline title Remcos RAT - Evolução e Adoção 2016 : Breaking-Security lança Remcos : Vendido como ferramenta legítima : Primeiros abusos documentados 2019 : MITRE registra como S0332 : Uso generalizado por cibercriminosos 2021 : Blind Eagle adota Remcos como RAT principal : Campanhas contra Colômbia e Equador 2023 : Versão 4.x com bypass UAC via COM : Expansão para alvos Brasil e LATAM Ján 2024 : ANY.RUN classifica como malware mais prevalente : 6.000 amostras em 30 dias no sandbox 2024 : Campanhas Blind Eagle contra setor financeiro BR : Nova funcionalidade anti-análise ``` ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1566-001-spearphishing-attachment\|T1566.001]] | Phishing com documentos maliciosos | | Execution | [[t1204-002-malicious-file\|T1204.002]] | Arquivo executado pelo usuário | | Execution | [[t1059-001-powershell\|T1059.001]] | PowerShell para execução de payload | | Execution | [[t1059-003-windows-command-shell\|T1059.003]] | CMD para execução de comandos remotos | | Persistence | [[t1547-001-registry-run-keys-startup-folder\|T1547.001]] | Registry Run Keys para persistência | | Privilege Escalation | [[t1548-002-bypass-user-account-control\|T1548.002]] | Bypass UAC via COM objects | | Defense Evasion | [[t1055-process-injection\|T1055]] | Injeção em RegAsm.exe ou vbc.exe | | Collection | [[t1056-001-keylogging\|T1056.001]] | Captura de teclas digitadas | | Collection | [[t1113-screen-capture\|T1113]] | Captura de tela periódica | | Credential Access | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | Roubo de credenciais de browser | | C2 | [[t1071-001-web-protocols\|T1071.001]] | Comúnicação via HTTP/HTTPS | | C2 | [[t1573-001-symmetric-cryptography\|T1573.001]] | Cifração AES-128 das comúnicações | ## Relevância LATAM/Brasil O [[remcos-rat|Remcos RAT]] é uma das ameaças mais diretamente relevantes para o Brasil e LATAM. O grupo [[g0099-blind-eagle-apt-c-36|Blind Eagle]] (APT-C-36), principal operador do Remcos na região, tem alvos documentados no **setor governamental, financeiro e de telecomúnicações** colombiano e equatoriano, com expansão crescente para o Brasil. As campanhas são especialmente perigosas porque os lures são em português e espanhol, com temáticas locais - notificações da **Receita Federal**, ordens judiciais do **TJSP**, comúnicados do **INSS** - que convencem usuários brasileiros a abrir os anexos. O setor [[financial|financeiro]] brasileiro é particularmente visado: funcionários de bancos, cooperativas de crédito e fintechs recebem emails falsos sobre auditorias ou conformidade regulatória. A capacidade de keylogging e captura de tela do Remcos permite ao [[g0099-blind-eagle-apt-c-36|Blind Eagle]] comprometer credenciais de acesso a sistemas bancários internos sem precisar explorar vulnerabilidades técnicas sofisticadas. O ANY.RUN classifica o Remcos como o malware mais detectado em sandboxes globais em 2024, demonstrando a escala do problema. Organizações brasileiras de qualquer setor devem treinar usuários para identificar phishing em português e implementar proteção avançada de endpoint. **Setores impactados:** [[government|governo]] - [[financial|financeiro]] - telecomúnicações - [[technology|tecnologia]] - educação ## Detecção - Detectar `RegAsm.exe` executando código não relacionado a registro de assemblies .NET (processo pai incomum) - Monitorar criação de entradas de registro em `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` por processos de usuário - Alertar para conexões TLS de processos como `vbc.exe`, `RegAsm.exe` ou processos temporários em `%TEMP%` - Detectar bypass de UAC via `Shell32.dll` COM objects por processos não assinados - Implementar regras de email para bloqueio de anexos `.vbs`, `.js`, `.lnk` e macros em emails externos - Monitorar acesso ao banco de dados de credenciais do Chrome/Firefox (`Login Data`, `logins.json`) por processos externos ## Referências - [1](https://attack.mitre.org/software/S0332/) MITRE ATT&CK - S0332 Remcos (2024) - [2](https://any.run/malware-trends/) ANY.RUN - Malware Trends Remcos Most Prevalent (2024) - [3](https://www.trendmicro.com/en_us/research/24/b/blind-eagle-remcos-rat-campaigns.html) Trend Micro - Blind Eagle Remcos RAT LATAM Campaigns (2024) - [4](https://www.checkpoint.com/press/2024/check-point-research-warns-of-growing-remcos-rat-distribution/) Check Point - Remcos RAT Distribution Growing (2024) - [5](https://unit42.paloaltonetworks.com/apt-c-36-blind-eagle/) Unit 42 - APT-C-36 Blind Eagle Analysis (2023)