remcos | 2bc143a7545e6bdcf462e4c5b6c2bc4b0ad66b1a1832148a266b4ff121334ae8

Analysis

max time kernel
179s
max time network
157s
platform
windows7_x64
resource
win7-20240220-en
resource tags

arch:x64arch:x86image:win7-20240220-enlocale:en-usos:windows7-x64system
submitted
13/03/2024, 20:21

Sharing

Copy URL Twitter E-mail

Report Analysis Logs

General

Target

165156 NOTIFICACIÓN URGENTE DE TRANS INTERB POR PSE EN LÍNEA FEBRERO 22 DEL 2024.exe
Size

1023.9MB
MD5

db6a8aedc759fcb43e03e59b582a7d5f
SHA1

e688809e434fb9b9f314bec1f16f642142e58cd1
SHA256

0e57fce2eeefb7c24ef7b905d0084da103f2313eba38421c46f644c06e4ef707
SHA512

7e23420555f57954657a1ef453743df69b1c8aedd619570363b9f18b10fee92f098da4bf64305329f801ec50e7461b6bdeb3381ac0d66fc5c12ef01589fee120
SSDEEP

12288:yvTIkDmLM5rf8tACMTY+dSHjk7QAtH3xKkNx0LCjbmPJYWr:g8kDmKf8tA/9SjKHhKkrwCmPJJr

Score

10^/10

remcos bbbbb rat

Malware Config

Extracted

Family

remcos

Botnet

BBBBB

ferfnekfkjerfjre.con-ip.com:1995

Attributes

audio_folder
MicRecords
audio_record_time
5
connect_delay
0
connect_interval
1
copy_file
remcos.exe
copy_folder
Remcos
delete_file
false
hide_file
false
hide_keylog_file
false
install_flag
false
keylog_crypt
false
keylog_file
logs.dat
keylog_flag
false
keylog_folder
remcos
mouse_option
false
mutex
Rmc-B468MF
screenshot_crypt
false
screenshot_flag
false
screenshot_folder
Screenshots
screenshot_path
%AppData%
screenshot_time
10
take_screenshot_option
false
take_screenshot_time
5

Signatures

Remcos
Remcos is a closed-source remote control and surveillance software.
rat remcos

Suspicious use of SetThreadContext 1 IoCs

description	pid	Process	procid_target
PID 2292 set thread context of 1144	2292	165156 NOTIFICACIÓN URGENTE DE TRANS INTERB POR PSE EN LÍNEA FEBRERO 22 DEL 2024.exe	28

Creates scheduled task(s) 1 TTPs 1 IoCs

Schtasks is often used by malware for persistence or to perform post-infection execution.

persistence

Scheduled Task/Job

T1053

pid	Process
2884	schtasks.exe

Suspicious use of SetWindowsHookEx 1 IoCs

pid	Process
1144	AppLaunch.exe

Suspicious use of WriteProcessMemory 32 IoCs

description	pid	Process	procid_target
PID 2292 wrote to memory of 1144	2292	165156 NOTIFICACIÓN URGENTE DE TRANS INTERB POR PSE EN LÍNEA FEBRERO 22 DEL 2024.exe	28
PID 2292 wrote to memory of 1144	2292	165156 NOTIFICACIÓN URGENTE DE TRANS INTERB POR PSE EN LÍNEA FEBRERO 22 DEL 2024.exe	28
PID 2292 wrote to memory of 1144	2292	165156 NOTIFICACIÓN URGENTE DE TRANS INTERB POR PSE EN LÍNEA FEBRERO 22 DEL 2024.exe	28
PID 2292 wrote to memory of 1144	2292	165156 NOTIFICACIÓN URGENTE DE TRANS INTERB POR PSE EN LÍNEA FEBRERO 22 DEL 2024.exe	28
PID 2292 wrote to memory of 1144	2292	165156 NOTIFICACIÓN URGENTE DE TRANS INTERB POR PSE EN LÍNEA FEBRERO 22 DEL 2024.exe	28
PID 2292 wrote to memory of 1144	2292	165156 NOTIFICACIÓN URGENTE DE TRANS INTERB POR PSE EN LÍNEA FEBRERO 22 DEL 2024.exe	28
PID 2292 wrote to memory of 1144	2292	165156 NOTIFICACIÓN URGENTE DE TRANS INTERB POR PSE EN LÍNEA FEBRERO 22 DEL 2024.exe	28
PID 2292 wrote to memory of 1144	2292	165156 NOTIFICACIÓN URGENTE DE TRANS INTERB POR PSE EN LÍNEA FEBRERO 22 DEL 2024.exe	28
PID 2292 wrote to memory of 1144	2292	165156 NOTIFICACIÓN URGENTE DE TRANS INTERB POR PSE EN LÍNEA FEBRERO 22 DEL 2024.exe	28
PID 2292 wrote to memory of 1144	2292	165156 NOTIFICACIÓN URGENTE DE TRANS INTERB POR PSE EN LÍNEA FEBRERO 22 DEL 2024.exe	28
PID 2292 wrote to memory of 1144	2292	165156 NOTIFICACIÓN URGENTE DE TRANS INTERB POR PSE EN LÍNEA FEBRERO 22 DEL 2024.exe	28
PID 2292 wrote to memory of 1144	2292	165156 NOTIFICACIÓN URGENTE DE TRANS INTERB POR PSE EN LÍNEA FEBRERO 22 DEL 2024.exe	28
PID 2292 wrote to memory of 1144	2292	165156 NOTIFICACIÓN URGENTE DE TRANS INTERB POR PSE EN LÍNEA FEBRERO 22 DEL 2024.exe	28
PID 2292 wrote to memory of 1144	2292	165156 NOTIFICACIÓN URGENTE DE TRANS INTERB POR PSE EN LÍNEA FEBRERO 22 DEL 2024.exe	28
PID 2292 wrote to memory of 1144	2292	165156 NOTIFICACIÓN URGENTE DE TRANS INTERB POR PSE EN LÍNEA FEBRERO 22 DEL 2024.exe	28
PID 2292 wrote to memory of 1144	2292	165156 NOTIFICACIÓN URGENTE DE TRANS INTERB POR PSE EN LÍNEA FEBRERO 22 DEL 2024.exe	28
PID 2292 wrote to memory of 1056	2292	165156 NOTIFICACIÓN URGENTE DE TRANS INTERB POR PSE EN LÍNEA FEBRERO 22 DEL 2024.exe	29
PID 2292 wrote to memory of 1056	2292	165156 NOTIFICACIÓN URGENTE DE TRANS INTERB POR PSE EN LÍNEA FEBRERO 22 DEL 2024.exe	29
PID 2292 wrote to memory of 1056	2292	165156 NOTIFICACIÓN URGENTE DE TRANS INTERB POR PSE EN LÍNEA FEBRERO 22 DEL 2024.exe	29
PID 2292 wrote to memory of 1056	2292	165156 NOTIFICACIÓN URGENTE DE TRANS INTERB POR PSE EN LÍNEA FEBRERO 22 DEL 2024.exe	29
PID 2292 wrote to memory of 2588	2292	165156 NOTIFICACIÓN URGENTE DE TRANS INTERB POR PSE EN LÍNEA FEBRERO 22 DEL 2024.exe	31
PID 2292 wrote to memory of 2588	2292	165156 NOTIFICACIÓN URGENTE DE TRANS INTERB POR PSE EN LÍNEA FEBRERO 22 DEL 2024.exe	31
PID 2292 wrote to memory of 2588	2292	165156 NOTIFICACIÓN URGENTE DE TRANS INTERB POR PSE EN LÍNEA FEBRERO 22 DEL 2024.exe	31
PID 2292 wrote to memory of 2588	2292	165156 NOTIFICACIÓN URGENTE DE TRANS INTERB POR PSE EN LÍNEA FEBRERO 22 DEL 2024.exe	31
PID 2588 wrote to memory of 2884	2588	cmd.exe	33
PID 2588 wrote to memory of 2884	2588	cmd.exe	33
PID 2588 wrote to memory of 2884	2588	cmd.exe	33
PID 2588 wrote to memory of 2884	2588	cmd.exe	33
PID 2292 wrote to memory of 2564	2292	165156 NOTIFICACIÓN URGENTE DE TRANS INTERB POR PSE EN LÍNEA FEBRERO 22 DEL 2024.exe	34
PID 2292 wrote to memory of 2564	2292	165156 NOTIFICACIÓN URGENTE DE TRANS INTERB POR PSE EN LÍNEA FEBRERO 22 DEL 2024.exe	34
PID 2292 wrote to memory of 2564	2292	165156 NOTIFICACIÓN URGENTE DE TRANS INTERB POR PSE EN LÍNEA FEBRERO 22 DEL 2024.exe	34
PID 2292 wrote to memory of 2564	2292	165156 NOTIFICACIÓN URGENTE DE TRANS INTERB POR PSE EN LÍNEA FEBRERO 22 DEL 2024.exe	34

C:\Users\Admin\AppData\Local\Temp\165156 NOTIFICACIÓN URGENTE DE TRANS INTERB POR PSE EN LÍNEA FEBRERO 22 DEL 2024.exe
"C:\Users\Admin\AppData\Local\Temp\165156 NOTIFICACIÓN URGENTE DE TRANS INTERB POR PSE EN LÍNEA FEBRERO 22 DEL 2024.exe"
1⤵
- Suspicious use of SetThreadContext
- Suspicious use of WriteProcessMemory
PID:2292
- C:\Windows\Microsoft.NET\Framework\v4.0.30319\AppLaunch.exe
  "C:\Windows\Microsoft.NET\Framework\v4.0.30319\AppLaunch.exe"
  2⤵
  - Suspicious use of SetWindowsHookEx
  PID:1144
- C:\Windows\SysWOW64\cmd.exe
  "cmd.exe" /C mkdir "C:\Users\Admin\AppData\Roaming\AppData"
  2⤵
  PID:1056
- C:\Windows\SysWOW64\cmd.exe
  "cmd.exe" /C schtasks /create /sc minute /mo 10 /tn "Nano" /tr "'C:\Users\Admin\AppData\Roaming\AppData\AppData.exe'" /f
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:2588
- - C:\Windows\SysWOW64\schtasks.exe
    schtasks /create /sc minute /mo 10 /tn "Nano" /tr "'C:\Users\Admin\AppData\Roaming\AppData\AppData.exe'" /f
    3⤵
    - Creates scheduled task(s)
    PID:2884
- C:\Windows\SysWOW64\cmd.exe
  "cmd.exe" /C copy "C:\Users\Admin\AppData\Local\Temp\165156 NOTIFICACIÓN URGENTE DE TRANS INTERB POR PSE EN LÍNEA FEBRERO 22 DEL 2024.exe" "C:\Users\Admin\AppData\Roaming\AppData\AppData.exe"
  2⤵
  PID:2564

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Scheduled Task/Job

T1053

Persistence

Scheduled Task/Job

T1053

Privilege Escalation

Scheduled Task/Job

T1053

Defense Evasion

Credential Access

Discovery

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\ProgramData\remcos\logs.dat

Filesize
144B

MD5
960e936f060f3ca6df7b9f3cbd6810ec

SHA1
a6f207943ce7f3176c422f3763e45a7bc6fa8c36

SHA256
7c24fa3baf60ccd8e9dc0e94bacd8682eec1b8cca83ed0e28ac5cd963ceb68d2

SHA512
91df0dc33cf9093cd64e3bc6c413a5758a2aa056b3745e73a8fadfc93fdc4e543207a3e8ea94eb5c966aa74e7b233692f64ff7952d6f24ecc6cb86c774ef8816

Download Submit
memory/1144-9-0x0000000000400000-0x0000000000482000-memory.dmp

Filesize
520KB

Download
memory/1144-22-0x0000000000400000-0x0000000000482000-memory.dmp

Filesize
520KB

Download
memory/1144-3-0x0000000000400000-0x0000000000482000-memory.dmp

Filesize
520KB

Download
memory/1144-5-0x0000000000400000-0x0000000000482000-memory.dmp

Filesize
520KB

Download
memory/1144-6-0x0000000000400000-0x0000000000482000-memory.dmp

Filesize
520KB

Download
memory/1144-8-0x0000000000400000-0x0000000000482000-memory.dmp

Filesize
520KB

Download
memory/1144-7-0x0000000000400000-0x0000000000482000-memory.dmp

Filesize
520KB

Download
memory/1144-70-0x0000000000400000-0x0000000000482000-memory.dmp

Filesize
520KB

Download
memory/1144-10-0x0000000000400000-0x0000000000482000-memory.dmp

Filesize
520KB

Download
memory/1144-11-0x0000000000400000-0x0000000000482000-memory.dmp

Filesize
520KB

Download
memory/1144-12-0x00000000FFFDE000-0x00000000FFFDF000-memory.dmp

Filesize
4KB

Download
memory/1144-13-0x0000000000400000-0x0000000000482000-memory.dmp

Filesize
520KB

Download
memory/1144-15-0x0000000000400000-0x0000000000482000-memory.dmp

Filesize
520KB

Download
memory/1144-17-0x0000000000400000-0x0000000000482000-memory.dmp

Filesize
520KB

Download
memory/1144-18-0x0000000000400000-0x0000000000482000-memory.dmp

Filesize
520KB

Download
memory/1144-20-0x0000000000400000-0x0000000000482000-memory.dmp

Filesize
520KB

Download
memory/1144-69-0x0000000000400000-0x0000000000482000-memory.dmp

Filesize
520KB

Download
memory/1144-61-0x0000000000400000-0x0000000000482000-memory.dmp

Filesize
520KB

Download
memory/1144-21-0x0000000000400000-0x0000000000482000-memory.dmp

Filesize
520KB

Download
memory/1144-26-0x0000000000400000-0x0000000000482000-memory.dmp

Filesize
520KB

Download
memory/1144-27-0x0000000000400000-0x0000000000482000-memory.dmp

Filesize
520KB

Download
memory/1144-28-0x0000000000400000-0x0000000000482000-memory.dmp

Filesize
520KB

Download
memory/1144-30-0x0000000000400000-0x0000000000482000-memory.dmp

Filesize
520KB

Download
memory/1144-54-0x0000000000400000-0x0000000000482000-memory.dmp

Filesize
520KB

Download
memory/1144-37-0x0000000000400000-0x0000000000482000-memory.dmp

Filesize
520KB

Download
memory/1144-38-0x0000000000400000-0x0000000000482000-memory.dmp

Filesize
520KB

Download
memory/1144-45-0x0000000000400000-0x0000000000482000-memory.dmp

Filesize
520KB

Download
memory/1144-46-0x0000000000400000-0x0000000000482000-memory.dmp

Filesize
520KB

Download
memory/1144-53-0x0000000000400000-0x0000000000482000-memory.dmp

Filesize
520KB

Download
memory/2292-1-0x0000000073FB0000-0x000000007469E000-memory.dmp

Filesize
6.9MB

Download
memory/2292-25-0x0000000073FB0000-0x000000007469E000-memory.dmp

Filesize
6.9MB

Download
memory/2292-2-0x0000000004B90000-0x0000000004BD0000-memory.dmp

Filesize
256KB

Download
memory/2292-0-0x0000000000100000-0x000000000018A000-memory.dmp

Filesize
552KB

Download

Analysis

Sharing

General

Malware Config

Extracted

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads