Negli ultimi mesi, i ricercatori di sicurezza informatica hanno scoperto una nuova e sofisticata campagna di phishing che usa una vulnerabilità di Microsoft Excel per distribuire una variante fileless del noto malware Remcos RAT (Remote Access Trojan). Questo tipo di attacco ha guadagnato molta attenzione per la sua capacità di aggirare le difese tradizionali, dato che non richiede la creazione di file dannosi sul disco rigido, ma si basa sull’iniezione di codice direttamente nella memoria di un processo esistente.
L’attacco inizia con un’email di phishing che appare legittima, spesso camuffata come una ricevuta d’ordine o una fattura. Il documento allegato, apparentemente un file Excel, contiene un exploit di una vulnerabilità conosciuta in Microsoft Office (CVE-2017-0199), che consente l’attuazione di codice remoto senza l’interazione dell’utente. Una volta che il malcapitato apre il documento, Excel usa questa vulnerabilità per scaricare un file HTA (HTML Application) da un server remoto.
Il file HTA, avvolto in più strati di offuscamento e contenente codice in JavaScript, VBS e PowerShell, ha come obiettivo quello di scaricare ed eseguire un ulteriore payload. Questo file viene eseguito tramite PowerShell e, una volta avviato, scarica un altro script che impiega la tecnica nota come process hollowing per iniettare il malware Remcos direttamente nella memoria di un processo legittimo in azione, senza scrivere alcun file sul disco.
Il process hollowing è una tecnica avanzata che consente al malware di iniettarsi in un processo legittimo, come un’applicazione di sistema o un processo di Windows, svuotando il suo codice esistente e sostituendolo con il proprio. In questo modo, il malware non viene rilevato dalle scansioni tradizionali, poiché non lascia tracce fisiche sul disco rigido. Remcos RAT viene eseguito completamente in memoria, rendendo molto difficile la rilevazione tramite antivirus tradizionali. Questa caratteristica lo rende particolarmente pericoloso, poiché è in grado di operare senza lasciare evidenti segni di compromissione, potendo restare attivo anche dopo il riavvio del sistema.
Una volta che Remcos RAT è stato eseguito, il malware permette agli hacker di ottenere il controllo completo del sistema infetto. Tra le sue funzionalità troviamo la possibilità di raccogliere dati sensibili, tra cui file, informazioni sui processi in azione, contenuti della clipboard, e informazioni di sistema come metadati e configurazioni di rete. Inoltre, gli hacker possono attivare microfoni e videocamere, registrare lo schermo, controllare l’input da tastiera e mouse e, in alcuni casi, persino disabilitare tali dispositivi per nascondere le proprie azioni. Il malware comunica con un server di comando e controllo (C2) per ricevere comandi remoti e inviare dati rubati. Gli hacker possono eseguire comandi arbitrari sul sistema compromesso, agendo come se avessero il controllo completo del computer del malcapitato.
La protezione contro questo tipo di sortita si basa su un mix di buone pratiche di sicurezza e l’uso di software di protezione avanzato. In primo luogo, è fondamentale non aprire allegati o cliccare su link provenienti da fonti non verificate. Inoltre, mantenere aggiornato il software e applicare tempestivamente le patch di sicurezza per le vulnerabilità note è un passo cruciale nella difesa contro questi exploit. L’utilizzo di soluzioni di sicurezza avanzate, come strumenti anti–malware comportamentali e tecnologie di protezione in tempo reale, è essenziale per rilevare attività sospette e prevenire l’attuazione di codice dannoso in memoria. Infine, la formazione degli utenti, per sensibilizzarli riguardo alle minacce del phishing e a come riconoscere le email fraudolente, è un altro strumento fondamentale nella contrasto a contro questa tipologia di azione malevola.