In una nuova campagna di phishing, scoperta dai ricercatori di sicurezza informatica di Fortinet, gli attori della minaccia stanno sfruttando una vulnerabilità di Microsoft Excel per distribuire una variante fileless del noto malware Remcos RAT.
Ricordiamo che Remcos Professional è un Remote Administration Tool acquistabile online che fornisce una vasta gamma di funzionalità avanzate per il controllo remoto, ma in mani sbagliate può essere abusato per raccogliere informazioni sensibili dalle vittime e per eseguire da remoto ulteriori azioni dannose.
L’attacco, descritto da Xiaopeng Zhang, ricercatore di Fortinet FortiGuard Labs nella sua analisi, risulterebbe particolarmente sofisticato e pericoloso, poiché riesce a eludere le difese tradizionali e ottenere il controllo remoto dei sistemi infetti senza lasciare tracce fisiche sul disco rigido.
Indice degli argomenti
Come funziona l’attacco
L’attacco inizia con un’e-mail fraudolenta che sembra legittima, spesso camuffata come una ricevuta d’ordine o una fattura.
Fonte: Fortinet.
L’e-mail contiene un allegato Excel, che quando aperto, tramite un’oggetto OLE (“\x01Ole”) incorporato nel file stesso sfrutta una vulnerabilità nota (CVE-2017-0199) per eseguire codice remoto senza l’interazione dell’utente.
Fonte: Fortinet.
Nella fattispecie, questo permette di scaricare in background da un server remoto un file HTA (HTML Application) (hxxp://192[.]3[.]220[.]22/xampp/en/cookienetbookinetcahce.hta).
Secondo l’analisi, il codice del file HTA che sarebbe stato scritto utilizzando diversi linguaggi di scripting e metodi di codifica (JavaScript, VBS, PowerShell, codifica Base64) per creare più strati di offuscamento, dapprima scarica ed esegue il file “dllhost.exe” e solo dopo una serie di processi anti-analisi, esegue tramite il process hollowing il codice dannoso nel nuovo processo “Vaccinerende.exe”, deputato a garantire la persistenza e a rilasciare il payload Remcos RAT in memoria, evitando così la rilevazione da parte degli antivirus tradizionali.
“Dopo aver decriptato il file scaricato, ho trovato una nuova variante di Remcos. Invece di salvare il file Remcos in un file locale ed eseguirlo, distribuisce direttamente Remcos nella memoria del processo corrente (Vaccinerende.exe). In altre parole, è una variante unfiless di Remcos”, spiega Xiaopeng Zhang.
Capacità di questa variante di Remcos RAT
Una volta eseguito, Remcos RAT offre agli attaccanti un controllo completo sul sistema infetto. Tra le sue funzionalità ci sono:
- Raccolta di dati sensibili: può rubare file, informazioni sui processi in esecuzione, contenuti della clipboard e configurazioni di sistema.
- Controllo remoto: permette di eseguire comandi inviati tramite server esterni, gestire servizi di sistema, attivare videocamere e microfoni, registrare lo schermo e controllare l’input di tastiera e mouse.
- Evasione delle difese: operando interamente in memoria, Remcos RAT è difficile da rilevare e può rimanere attivo anche dopo il riavvio del sistema.
Come proteggersi
Per proteggersi da questo tipo di attacco, è fondamentale:
- Non aprire allegati sospetti: evitare di aprire allegati di email la cui provenienza non è certa.
- Aggiornare il software: assicurarsi che tutti i software, in particolare Microsoft Office, siano aggiornati con le ultime patch di sicurezza.
- Utilizzare soluzioni di sicurezza avanzate: implementare soluzioni di sicurezza che possano rilevare e bloccare attacchi basati su tecniche avanzate come il process hollowing.
Questa campagna di phishing dimostra quanto sia importante rimanere vigili e adottare misure di sicurezza proattive per proteggere i propri sistemi da minacce sempre più sofisticate e innovative.
Vale la pena notare, infatti, che anche il team di sicurezza di Perception Point in un recente rapporto ha osservato delle campagne di phishing che sfruttano in questo caso una tattica non convenzionale basata sulla concatenazione di file ZIP per aggirare gli strumenti di sicurezza e distribuire trojan di accesso remoto.
