Remcos RAT атакует Windows через LuaJIT и Donut

Remcos RAT использует многоэтапную цепочку заражения и закрепляется в Windows через LuaJIT и scheduled tasks

Remcos — это RAT for Windows, который киберпреступники применяют для получения полного контроля над заражёнными машинами в различных секторах, включая государственные учреждения, здравоохранение и финансы. По данным отчёта, вредоносное ПО используется как для шпионажа, так и для кражи денежных средств, позволяя злоумышленникам собирать конфиденциальные данные для мошеннической деятельности.

Что умеет Remcos

Функциональность вредоносного ПО делает его особенно опасным. Remcos предоставляет операторам широкий набор возможностей, в том числе:

• выполнение команд;
• управление файлами;
• захват нажатий клавиш;
• запись audio и video;
• кражу сохранённых учетных данных;
• сбор системных метрик и пользовательских данных.

Помимо этого, Remcos способен собирать сведения об установленных программах, активных процессах и статистике выполнения. Также он поддерживает захват screenshots и запись audio, что расширяет возможности скрытого наблюдения за пользователем.

Как происходит заражение

Цепочка заражения начинается с сильно обфусцированного JavaScript-файла, который размещает последующую payload. Этот вредоносный файл, полученный из недавних образцов, реализует многоэтапный подход: сначала выполняется JavaScript, затем запускается loader на основе LuaJIT.

На следующем этапе loader взаимодействует с легитимными процессами Windows, такими как colorcpl.exe, для внедрения code. Использование Foreign Function Interface (FFI) позволяет эффективно манипулировать процессами и memory, что облегчает выполнение декодированной payload.

Отдельно отмечается применение scheduled tasks, которые обеспечивают persistence: внедрённые scripts повторно запускаются через регулярные интервалы времени, в том числе после перезагрузки системы.

Как работает финальная payload

Извлечённая из этой схемы payload упаковывается с помощью Donut — широко используемого инструмента, который преобразует различные типы файлов в исполняемый shellcode in memory, обходя традиционные механизмы detection.

Финальная payload идентифицируется как Remcos RAT и работает исключительно in memory, что дополнительно повышает её stealth. Для связи с control center она использует raw TCP sockets и управляет dynamic configurations, включая несколько server addresses и settings TLS для защищённых передач.

Механизмы закрепления и уклонения от обнаружения

Remcos демонстрирует комплексный набор техник, направленных на закрепление в системе и затруднение анализа. Среди них:

• манипуляции с реестром Windows;
• использование administrative privileges для закрепления foothold в user accounts;
• отключение UAC;
• PEB masking для уклонения от detection.

Таким образом, Remcos сочетает многоэтапную доставку, in-memory execution и механизмы persistence, что делает его опасным инструментом для скрытого доступа, шпионажа и хищения данных.

«Финальная payload идентифицируется как Remcos RAT, который работает исключительно in memory, что дополнительно повышает его скрытность».