Ataques Remcos sem arquivo: injeção de código malicioso no RMClient para escapar do EDR – Against Invaders – Notícias de CyberSecurity para humanos.

Os pesquisadores da CyberProof detectaram um aumento significativo nas campanhas de Remcos (Software de Controle Remoto e Vigilância) ao longo de setembro e outubro de 2025, explorando técnicas sofisticadas sem arquivo para evitar soluções de detecção e resposta de endpoint (EDR).

Ao aproveitar scripts PowerShell altamente ofuscados e processar o RMClient.exe da Microsoft, os invasores estão ganhando persistência furtiva e visando credenciais de navegador.

Embora Remcos seja um e-mail contendo um arquivo chamado “EFEMMAK TURKEY INQUIRY ORDER NR 09162025.gz.”

Um snippet subsequente do PowerShell aproveitou msiexec.exe para executar o próximo estágio:

powershellpowershell.exe -windowstyle hidden "spsv exergonic; function Lotusblo ...
Garrots (Lotusblo '…')"

Este comando ocultou parâmetros maliciosos e executou msiexec.exe, que por sua vez esvaziou sua própria memória para hospedar a carga útil do Remcos dentro de RMClient.exe.

As conexões C2 iniciais com domínios como icebergtbilisi.ge foram bem-sucedidas antes que as tentativas subsequentes falhassem. A análise forense de rede confirmou solicitações GET para endpoints mal-intencionados usando a string User-Agent personalizada incorporada no carregador do PowerShell.

Monitoramento e Caça

Para ajudar os defensores, os pesquisadores do CyberProof compartilharam uma consulta de busca Kusto Query Language (KQL) para capturar eventos relacionados:

textunion DeviceEvents, DeviceProcessEvents
| where FileName contains "rmclient.exe"
| where ProcessCommandLine contains "AppDataLocalTemp"
| project Timestamp, FileName, FolderPath, ProcessCommandLine, InitiatingProcessFileName, InitiatingProcessParentFileName

Esta consulta isola instâncias de RMClient.exe iniciadas por msiexec de pastas temporárias, destacando efetivamente possíveis infecções de Remcos sem arquivo.

A CyberProof continua monitorando esta campanha em evolução. Avaliações iniciais sugerem que os invasores podem ter comprometido sites legítimos para hospedar cargas adicionais.

À medida que a metodologia sem arquivo torna a detecção tradicional baseada em assinatura menos eficaz, as organizações são incentivadas a reforçar o monitoramento comportamental, aplicar políticas rígidas de execução do PowerShell e empregar varredura de memória em tempo real para detectar esvaziamento anômalo de processos e execução dinâmica de código. Atualizações nas regras de detecção e feeds de inteligência sobre ameaças serão publicadas à medida que novos indicadores surgirem.

Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial emGoogle.