预警丨防范Remcos恶意软件新变种

admin 2026-07-01 05:47:16 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 工业和信息化部网络安全威胁和漏洞信息共享平台监测发现Remcos远程访问木马新型变种正在活跃传播。该变种首次融合DonutLoader内存加载与AutoIt脚本调度技术,通过钓鱼邮件诱导用户执行恶意批处理文件,利用系统合法工具层层解码后注入合法进程执行恶意行为,具备远程控制、信息窃取等高风险能力。建议用户及时更新防病毒软件、谨慎处理邮件附件并定期备份数据。 综合评分: 87 文章分类: 恶意软件,漏洞预警,网络安全,威胁情报,终端安全


cover_image

预警丨防范Remcos恶意软件新变种

网络安全和信息化

2026年6月30日 17:05 北京

在小说阅读器读本章

去阅读

近日,工业和信息化部网络安全威胁和漏洞信息共享平台(CSTIS)监测发现,一种Remcos新型变种正在活跃传播,其利用DonutLoader内存加载技术进行投放。Remcos是一种危险的远程访问木马(RAT),最早发现于2016年。其主要攻击目标为Windows用户,可能导致系统受控、敏感信息泄露、业务中断等风险。

此次发现的Remcos RAT 7.2.1 Pro版本,是Remcos家族首次融合DonutLoader内存加载与AutoIt自动化脚本中间层调度的全链路变种。攻击者首先通过钓鱼邮件诱导用户打开名为Bestellung.CMD的批处理文件,该文件调用系统自带组件(SyncAppvPublishingServer.vbs)作为执行代理,用一段以Base64加密过的恶意命令通过PowerShell在内存里直接执行,并从pCloud云存储下载7Zip工具及加密压缩包;接着,释放JavaScript脚本和AutoIt解释器用于解析恶意PNG文件中的加密数据,解码后得到注入指令;最终将DonutLoader生成的shellcode(一段恶意的二进制代码)注入系统合法进程(colorcpl.exe)中执行Remcos RAT。部署成功后,该恶意软件可进行远程截屏与键盘记录、浏览器及系统凭证窃取、摄像头与麦克风远程激活、文件管理等多种恶意行为。该变种最大特点在于全面借用系统合法工具替代传统恶意组件,融合PowerShell、VBScript、JavaScript三层脚本编码,结合Base64加垃圾数据混淆、XOR单字节解密、密码保护压缩包及进程注入等多种反检测手段,防御拦截难度较此前版本大幅提升。

建议相关单位和用户立即组织排查,及时更新防病毒软件,实施全盘病毒查杀,谨慎点击或下载邮件附件,并可通过及时修复安全漏洞、定期备份数据等措施,防范网络攻击风险。

来源:工业和信息化部网络安全威胁和漏洞信息共享平台(CSTIS)

-END-

欢迎关注我们~


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:网络安全和信息化 《预警丨防范Remcos恶意软件新变种》

评论:0   参与:  0