网络犯罪分子不受ToS的影响

思科Talos的研究人员正在呼吁远程访问工具(RAT)的开发者允许其用于恶意目的。

该实用程序名为Remcos(远程控制和监视的简称),由一家名为Breaking Security的公司发行。它的商用价格从€58到€389,并具有完全控制任何版本的Windows操作系统,启动XP和包括服务器版本的功能。

其中包括远程功能,包括管理,监控,代理; 它还可以作为笔记本电脑的防盗工具。以下是演示视频,演示如何管理远程系统。

Remcos是一个完整的远程控制实用程序,能够同时处理与多个系统的连接。其管理员可以完全访问远程计算机,并从强大的管理,监视和网络功能中受益。

在鱼叉式网络钓鱼攻击中的Remcos有效载荷

根据思科的猜测,Remcos参与了多种恶意软件活动,这些活动使用各种方法来避免被发现。一些恶意行为的目标是能源和海运业的国防承包商,国际新闻机构,柴油设备制造商和服务提供商。

在塔洛斯在土耳其观察到的一场运动中,Remcos通过精心策划的鱼叉式网络钓鱼攻击得以传递,该攻击据称是土耳其税务局的官方通信,负责该国的税收。

“正如许多鱼叉式网络钓鱼活动一样,恶意的Microsoft Office文档会附加到电子邮件中。虽然这些文档中的大多数都是Excel电子表格,但我们也观察到利用Word文档的攻击者。在许多情况下,文件的内容被故意模糊,以吸引受害者启用宏并查看内容,“研究人员在他们的报告中写道。

Remcos ToS禁止恶意使用

根据Talos的调查结果,远程控制实用程序由名为Francesco Viotto的人开发。看来他从2016年就开始在HackForums上宣传该产品。

根据公司网站上的服务条款,Breaking Security的所有产品均用于合法目的,违反协议会导致许可证暂停或撤销。

Talos通过在黑客论坛中发布帖子来挑战开发人员的良好意图,其中Remcos经销商感谢客户在尝试使用200个机器人的工具后分享他们的积极体验。

在发送给Bleeping Computer的电子邮件中,该工具的作者遵守这一规定。

“我们有许多客户,包括IT管理,网络安全,企业主,私人用户等。现在,由于该软件的强大功能和多功能性,一些用户滥用它,通过使用它来控制他们没有所有权的机器在,“Viotto说。

“我们的使用条款明确禁止这一点,任何用户在我们的网站上注册和购买之前必须接受,”他继续道。

Viotto从经销商的回复中对“机器人”一词给出了不同的解释,称它可能意味着“远程自动控制机器”,并不一定意味着访问是未经许可的。

开发者为他的业务辩护

Viotto告诉Bleeping Computer,有很多方法可以确保用户不会滥用软件的功能。发现非法活动时,可以当场撤销许可证。

Viotto告诉我们,这种事情发生了好几次,阻止了正在进行的任何可疑活动。

“只要有证据,我们就会阻止许可证。但是,思科Talos从未联系我们报告我们软件的任何问题,“Viotto解释道。

他补充说,许可证代码对每个用户都是唯一的,并且在安装Remcos时会保存在系统的注册表中。这样可以轻松跟踪许可证被用于恶意或非法目的的用户。

Viotto还表示他没有收到研究人员/分析师滥用的通知,尽管专门为此设置的电子邮件地址发布在公司网站的联系方面。

“如果他们有兴趣阻止恶意活动,最简单的方法就是向我们报告滥用行为。我们本可以在10分钟内停止这项活动,即使是在全球范围内也是如此。我创建了这种保护功能,功能很强大,但是使用起来像翻转开关一样简单,“Viotto辩护道。

根据Talos的分析和他们的观察结果,Remcos是用于恶意活动的首选工具。该研究小组建议组织确保其安全控制措施考虑此RAT。

“Remcos是一个强大的工具,正在积极开发,包括增加攻击者可以访问的新功能,”研究人员说。

  • 发表于:
  • 原文链接:https://www.bleepingcomputer.com/news/security/cybercriminals-undeterred-by-tos-for-remcos-rat/

扫码关注云+社区

领取腾讯云代金券