IT之家 6 月 30 日消息，近日，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）监测发现，一种 Remcos 新型变种正在活跃传播，其利用 DonutLoader 内存加载技术进行投放。

据介绍，Remcos 是一种危险的远程访问木马（RAT），最早发现于 2016 年。其主要攻击目标为 Windows 用户，可能导致系统受控、敏感信息泄露、业务中断等风险。

工信部 CSTIS 平台表示，此次发现的 Remcos RAT 7.2.1 Pro 版本，是 Remcos 家族首次融合 DonutLoader 内存加载与 AutoIt 自动化脚本中间层调度的全链路变种。

攻击者首先通过钓鱼邮件诱导用户打开名为 Bestellung.CMD 的批处理文件，该文件调用系统自带组件（SyncAppvPublishingServer.vbs）作为执行代理，用一段以 Base64 加密过的恶意命令通过 PowerShell 在内存里直接执行，并从 pCloud 云存储下载 7Zip 工具及加密压缩包；接着，释放 JavaScript 脚本和 AutoIt 解释器用于解析恶意 PNG 文件中的加密数据，解码后得到注入指令；最终将 DonutLoader 生成的 shellcode（一段恶意的二进制代码）注入系统合法进程（colorcpl.exe）中执行 Remcos RAT。

IT之家注意到，部署成功后，该恶意软件可进行远程截屏与键盘记录、浏览器及系统凭证窃取、摄像头与麦克风远程激活、文件管理等多种恶意行为。

该变种最大特点在于全面借用系统合法工具替代传统恶意组件，融合 PowerShell、VBScript、JavaScript 三层脚本编码，结合 Base64 加垃圾数据混淆、XOR 单字节解密、密码保护压缩包及进程注入等多种反检测手段，防御拦截难度较此前版本大幅提升。

工信部 CSTIS 平台建议相关单位和用户立即组织排查，及时更新防病毒软件，实施全盘病毒查杀，谨慎点击或下载邮件附件，并可通过及时修复安全漏洞、定期备份数据等措施，防范网络攻击风险。

广告声明：文内含有的对外跳转链接（包括不限于超链接、二维码、口令等形式），用于传递更多信息，节省甄选时间，结果仅供参考，IT之家所有文章均包含本声明。