TheProtect è il falso nome per vendere Remcos RAT e GuLoader. I ricercatori di cybersecurity di Check Point: EMINэM li propone su BreakingSecurity e VgoStore come un tool legittimo per la crittografia “runtime FUD”

TheProtect è il falso nome attraverso cui Remcos RAT e GuLoader vengono venduti come software legittimi sui siti internet BreakingSecurity e VgoStore. I due siti e i rispettivi canali Telegram sono amministrati da una persona che si fa chiamare EMINэM. Lo hanno scoperto i ricercatori di cybersecurity di Check Point. Formalmente TheProtect sarebbe un tool per la crittografia “runtime FUD”, ma in realtà contiene un file VBS o un LNK (eseguibile NSIS) che scarica il loader. Questo contatta un url ed effettua il download del malware finale. Peraltro, l’attore del cybercrime, che gli esperti hanno identificato, in passato ha diffuso anche altri payload malevolo come Formbook e Amadey.