Il Remcos RAT (Remote Access Trojan) è un malware noto per le sue capacità avanzate di controllo remoto dei computer. Tuttavia, recentemente, i cybercriminali hanno iniziato a utilizzare questo malware in una nuova campagna di attacco che sfrutta vulnerabilità nei file Excel per diffondere il Remcos RAT. In questo articolo, esploreremo come funziona questa nuova campagna di attacco e forniremo suggerimenti e consigli per proteggersi da queste minacce.
La Campagna di Attacco
La campagna di attacco inizia con un’email di phishing che contiene un file Excel apparentemente innocuo. Tuttavia, questo file è in realtà un’arma di distruzione massiccia, progettata per sfruttare la vulnerabilità CVE-2017-0199 nei file Microsoft Office e WordPad. Questa vulnerabilità consente agli attaccanti di eseguire codice arbitrario quando un utente apre un file specificamente elaborato.
Come Funziona l’Attacco
Quando un utente apre il file Excel, l’attacco si avvia con l’esecuzione di un HTA (HTML Application) file. Questo HTA file è progettato per evitare la detezione utilizzando multipli strati di codice JavaScript, Visual Basic Script e PowerShell. L’HTA file scarica un file eseguibile da un server remoto e lo esegue utilizzando mshta.exe.
Esecuzione del Malware
Il file eseguibile scaricato dal server remoto contiene codice obfuscato in PowerShell. Questo codice esegue ulteriori comandi per scaricare e eseguire il Remcos RAT. Invece di salvare il file Remcos in un file locale e eseguirlo, il malware viene direttamente deployato nella memoria del processo corrente, rendendolo una variante fileless del Remcos RAT.
Caratteristiche del Remcos RAT
Il Remcos RAT è equipaggiato per raccogliere una vasta gamma di informazioni dal computer compromesso, inclusi metadati del sistema e può eseguire istruzioni remote tramite un server di controllo (C2). Le funzionalità del Remcos RAT includono:
- Raccolta di informazioni: Il malware può raccogliere file, enumerare e terminare processi, gestire servizi del sistema, modificare il Registro di Windows, eseguire comandi e script, catturare contenuto della clipboard, alterare lo sfondo del desktop, abilitare webcam e microfono, scaricare payload aggiuntivi, registrare schermo e disabilitare input del mouse o tastiera.
Suggerimenti e Consigli per la Protezione
Per proteggersi da questa nuova campagna di attacco, è essenziale adottare una combinazione di difese tecniche e consapevolezza da parte degli utenti. Ecco alcuni suggerimenti:
- Aggiornamenti regolari: Assicurarsi che le applicazioni di Office siano regolarmente aggiornate. Gli aggiornamenti di sicurezza possono bloccare queste vulnerabilità.
- Filtri email: Abilitare filtri email per esaminare e bloccare allegati sospetti o contenenti codice malizioso.
- Formazione degli utenti: Fornire formazione agli utenti per riconoscere tentativi di phishing sofisticati. Riconoscere segnali di allarme come mittenti sconosciuti, richieste urgenti e allegati sospetti può ridurre gli errori umani.
- Monitoraggio delle attività: Monitorare le attività sul sistema e sulla rete per rilevare eventuali comportamenti sospetti.
- Limitazione dell’uso di sistemi vecchi: Limitare l’uso di sistemi vecchi, come quelli che potrebbero non essere aggiornati con le patch di sicurezza. Questi sistemi dovrebbero essere segmentati dalle reti principali e il loro accesso all’Internet o ai servizi email dovrebbe essere limitato o eliminato.
La nuova campagna di attacco che utilizza file Excel per diffondere il Remcos RAT rappresenta una minaccia significativa per la sicurezza informatica. È cruciale che le organizzazioni adottino misure proattive per proteggersi da queste attacchi, inclusi aggiornamenti regolari, filtri email, formazione degli utenti e monitoraggio delle attività. Solo attraverso una combinazione di difese tecniche e consapevolezza da parte degli utenti è possibile ridurre efficacemente il rischio di attacchi di questo tipo.
Fonte: https://packetstormsecurity.com/news/view/36584/Remcos-RAT-Now-Exploiting-Microsoft-Excel-Files.htm
