RAT Remcos применялся в ряде целевых фишинговых атак на организации в Турции, Испании, Польше и Великобритании.
Злоумышленники используют официальные инструменты для тестирования в целях создания и поддержки работы ботнетов. В частности, речь идет об инструменте для удаленного доступа Remcos (Remote Control and Surveillance), утилите для шифрования Octopus Protector и другом программном обеспечении производства компании Breaking Security, утверждают специалисты команды Cisco Talos. Согласно правилам оказания услуг, размещенным на сайте Breaking Security, использование продуктов разрешено только в законных целях, а любое нарушение повлечет за собой отзыв лицензии. Тем не менее, по данным Cisco Talos, инструмент Remcos применялся в ряде целевых фишинговых атак на организации в Турции, Испании, Польше и Великобритании, в том числе военных подрядчиков, международные новостные агентства, производителей оборудования, а также поставщиков услуг в энергетической и морской сферах.
После установки на системе Remcos может использоваться для мониторинга активности пользователя, включая запись нажатий клавиш, удаленную съемку скриншотов и выполнение команд. Согласно официальному описанию продукта, Remcos, предлагаемый по цене от €58 до €389, позволяет полностью контролировать любую версию ОС Windows, начиная с XP.
Несмотря на заявления на сайте Breaking Security, исследователи поставили под сомнение добропоряочность разработчика, учитывая, что инструмент рекламируется на хакерских форумах по меньшей мере с 2016 года. В пример они привели сообщение на одном из ресурсов, в котором покупатель Remcos говорит о том, что использует программное обеспечение компании для управления двумя сотнями «ботов».
Как заявил создатель инструмента, некто Франческо Виотто (Francesco Viotto), в ответ на обвинения Cisco Talos, программа действительно предназначена исключительно для законного использования.
«Из-за мощности и универсальности нашего программного обеспечения некоторые пользователи применяют его с вредоносной целью, используя для управления машинами, им не принадлежащими», — отметил Виотто в беседе с журналистами Bleeping Computer, подчеркнув, что в случаях подозрительного использования ПО лицензия немедленно отзывается. По его словам, эксперты не отправили ни одного уведомления о вредоносном использовании Remcos, хотя на сайте компании размещен электронный адрес специально для подобных случаев.
«Если бы они [Cisco Talos] были заинтересованы в пресечении вредоносной кампании, проще всего было бы проинформировать нас. Мы бы остановили кампанию, даже масштабную, в течение 10 минут», — утверждает Виотто.
