文章总结: CSTIS监测发现Remcos恶意软件7.2.1Pro新变种利用DonutLoader内存加载技术,通过钓鱼邮件投递Bestellung.CMD文件,结合PowerShell/VBScript/JavaScript三层脚本及Base64/XOR加密手段,注入系统进程实施远程控制。建议立即更新防病毒软件、全盘查杀、谨慎处理邮件附件并定期备份数据。 综合评分: 85 文章分类: 恶意软件,漏洞预警,威胁情报,安全运营,终端安全
关于防范Remcos恶意软件新变种的风险提示
CSTIS CSTIS
网络安全威胁和漏洞信息共享平台
2026年6月30日 16:31 北京
在小说阅读器读本章
去阅读
近日,工业和信息化部网络安全威胁和漏洞信息共享平台(CSTIS)监测发现,一种Remcos新型变种正在活跃传播,其利用DonutLoader内存加载技术进行投放。Remcos是一种危险的远程访问木马(RAT),最早发现于2016年。其主要攻击目标为Windows用户,可能导致系统受控、敏感信息泄露、业务中断等风险。
此次发现的Remcos RAT 7.2.1 Pro版本,是Remcos家族首次融合DonutLoader内存加载与AutoIt自动化脚本中间层调度的全链路变种。攻击者首先通过钓鱼邮件诱导用户打开名为Bestellung.CMD的批处理文件,该文件调用系统自带组件(SyncAppvPublishingServer.vbs)作为执行代理,用一段以Base64加密过的恶意命令通过PowerShell在内存里直接执行,并从pCloud云存储下载7Zip工具及加密压缩包;接着,释放JavaScript脚本和AutoIt解释器用于解析恶意PNG文件中的加密数据,解码后得到注入指令;最终将DonutLoader生成的shellcode(一段恶意的二进制代码)注入系统合法进程(colorcpl.exe)中执行Remcos RAT。部署成功后,该恶意软件可进行远程截屏与键盘记录、浏览器及系统凭证窃取、摄像头与麦克风远程激活、文件管理等多种恶意行为。该变种最大特点在于全面借用系统合法工具替代传统恶意组件,融合PowerShell、VBScript、JavaScript三层脚本编码,结合Base64加垃圾数据混淆、XOR单字节解密、密码保护压缩包及进程注入等多种反检测手段,防御拦截难度较此前版本大幅提升。
建议相关单位和用户立即组织排查,及时更新防病毒软件,实施全盘病毒查杀,谨慎点击或下载邮件附件,并可通过及时修复安全漏洞、定期备份数据等措施,防范网络攻击风险。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:网络安全威胁和漏洞信息共享平台 CSTIS CSTIS《关于防范Remcos恶意软件新变种的风险提示》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论