New Phishing Attack Via Google Storage Deploys Remcos RAT

Nuovo attacco phishing con Google Storage che diffonde Remcos RAT

Nuovo attacco phishing con Google Storage che diffonde Remcos RAT

Attenzione: un nuovo phishing sta colpendo utenti in tutto il mondo usando Google Cloud Storage per nascondere il trojan Remcos RAT. Gli attaccanti sfruttano la fiducia nel dominio googleapis.com per eludere filtri email e antivirus. Soluzione rapida: non cliccare link sospetti da email inattese, verifica sempre il mittente e usa software di sicurezza aggiornati.

Questa campagna è insidiosa perché imita interfacce familiari come Google Drive, ingannando anche utenti attenti. Immagina di ricevere un’email che promette un documento condiviso: il link porta a una pagina falsa su un dominio Google legittimo, dove un semplice clic avvia l’infezione silente.

Come funziona l’attacco in modo semplice

Gli hacker ospitano una pagina HTML malevola direttamente su Google Cloud Storage. Questa pagina sembra un invito ufficiale a visualizzare un file su Google Drive. Quando interagisci, JavaScript scarica un archivio compresso da server controllati dagli attaccanti.

All’interno c’è un “dropper” che usa script Windows come VBScript o PowerShell per eseguire il payload finale: Remcos RAT, un remote access trojan potente.

Remcos permette agli attaccanti di:

  • Registrare i tasti premuti
  • Catturare screenshot
  • Gestire file e processi
  • Mantenere accesso persistente al tuo PC

Una volta installato, si nasconde nel registro di Windows e comunica crittografata con i server degli hacker. Il rischio è alto per aziende e privati: basta un clic per compromettere dati sensibili.

Proteggiti ora:

  • Abilita policy di esecuzione script su Windows
  • Usa antivirus con rilevamento comportamentale
  • Controlla connessioni outbound a googleapis.com
  • Forma il team a verificare email sospette

Questa minaccia evolve da anni, con Remcos aggiornato regolarmente dal 2016. Originariamente uno strumento legittimo per gestione remota, è ora arma preferita dai cybercriminali.

Impatto globale e perché è difficile da fermare

L’abuso di infrastrutture cloud fidate come Google rende l’attacco invisibile a molti gateway email. Filtri web non bloccano URL su domini legittimi, permettendo la diffusione globale.

Organizzazioni di ogni dimensione sono a rischio. Anche con awareness, l’aspetto familiare inganna: utenti moderatamente cauti cadono nella trappola.

Per ridurre l’esposizione:

  • Scansiona tutti i link email, indipendentemente dal dominio
  • Monitora traffico anomalo verso servizi cloud
  • Implementa formazione continua sulla phishing simulation

Technical deep dive

Catena di infezione multi-stadio

  1. Email phishing iniziale: Link a HTML su storage.googleapis.com o simile, mimando Google Drive.

  2. Pagina malevola: JavaScript attiva redirect o download automatico di ZIP/ archivio offuscato da server C2 (command-and-control).

  3. Dropper execution: Usa engine script Windows (VBS/PowerShell) per deoffuscare e lanciare payload. Evita detection file-based.

  4. Process hollowing: Remcos viene iniettato in processo legittimo Windows (es. explorer.exe), eseguendosi in memoria pura.

  5. Persistenza: Scrive chiavi registry come HKEY_CURRENT_USER\Software\Remcos-{GUID} per auto-avvio.

  6. C2 communication: Canale crittografato (TCP/UDP) al server attacker per comandi remoti.

Caratteristiche tecniche di Remcos RAT

  • Keylogging: Cattura input tastiera in real-time.
  • Screen capture: Screenshot periodici o on-demand.
  • File manager: Upload/download, esecuzione file.
  • Mic/webcam access: Sorveglianza audio/video.
  • Anti-analysis: Detect VM/sandbox, muta stringhe, offusca API calls.

Remcos è commercializzato da Breaking Security per pentest legittimi, ma cracked versions circolano nel dark web.

Mitigazioni avanzate

  • EDR (Endpoint Detection Response): Rileva hollowing e injection via behavioral analytics.
  • Network monitoring: Blocca connessioni a googleapis.com fuori workflow noti (usa SIEM rules).
  • PowerShell logging: Abilita Module/Transcription logging per tracciare script malevoli.
  • YARA rules: Scansiona per signature Remcos (es. mutex nomi univoci).

Esempio rule PowerShell restrictiva:

Set-ExecutionPolicy RemoteSigned -Scope CurrentUser

Per analisi sandbox: testa in VM con network isolation, monitora API come CreateProcess, VirtualAllocEx.

Evoluzione e varianti

Dal 2016, Remcos ha visto update per Windows 10/11 compatibilità, evasion EDR (es. bypass AMSI). Varianti usano crypter personalizzati.

Team di sicurezza raccomandano threat hunting su indicator come registry paths specifici o traffico C2 su port non standard.

Questa campagna dimostra come zero-trust si applichi anche a cloud provider: verifica sempre, non fidarti del dominio.

In sintesi, combina social engineering con tecnica evasion avanzata. Aggiorna difese e resta vigile: la minaccia persiste.

Fonte: https://cybersecuritynews.com/new-phishing-attack-via-google-storage/

Inizia a scrivere e premi Invio per cercare

Torna in alto