Phishing con Excel: il malware Remcos ruba dati sensibili senza lasciare traccia sul dispositivo

Notizie
Di
Pubblicato

Si sta diffondendo un malware senza file Excel che fa cadere il file

Fraude en ligne phishing
Image Credit: Shutterstock (Immagine:: wk1003mike / Shutterstock)
  • Recentemente è stata individuata una nuova campagna di phishing che distribuisce un file Excel.
  • Il file rilascia sul dispositivo una versione senza file del RAT Remcos
  • Remcos può rubare file sensibili, chiavi di registro e altro ancora

Gli hacker sono stati osservati distribuire una versione senza file del Trojan Remcos Remote Access (RAT), che utilizzano poi per rubare informazioni sensibili dai dispositivi delle vittime, sfruttando un software di foglio di calcolo compromesso.

In un'analisi tecnica, i ricercatori di Fortinet hanno segnalato che gli attori delle minacce inviano e-mail di phishing con il classico tema dell'ordine di acquisto. L'e-mail contiene un allegato in formato Microsoft Excel, progettato per sfruttare una vulnerabilità di esecuzione di codice remoto presente in Office (CVE-2017-0199). Quando il file viene aperto, attiva il download di un'applicazione HTML (HTA) da un server remoto, che viene eseguita tramite mshta.exe.

Il file scaricato preleva quindi un secondo payload dallo stesso server, che eseguirà delle tecniche di anti-analisi e anti-debug, per poi scaricare ed eseguire il Remcos RAT, completando l'infezione.

Il ritorno di Remcos

Remcos, inizialmente creato come software commerciale legittimo per l'amministrazione remota, non è sempre stato considerato un malware. Tuttavia, è stato dirottato dai criminali informatici, come è accaduto anche per Cobalt Strike, e oggi viene utilizzato principalmente per accessi non autorizzati, furto di dati e spionaggio. Remcos è in grado di registrare sequenze di tasti, catturare schermate ed eseguire comandi sui sistemi infetti.

La particolare versione di Remcos di cui si parla in questa analisi viene scaricata direttamente nella memoria del dispositivo: "Invece di salvare il file Remcos su un'unità locale ed eseguirlo, viene distribuito direttamente nella memoria del processo corrente", spiega Fortinet. "In altre parole, si tratta di una variante senza file di Remcos".

Il phishing via e-mail continua a essere uno dei metodi più usati dai criminali informatici per infettare i dispositivi con malware e rubare informazioni sensibili. È un'operazione economica e molto efficace, che lo rende un vettore di attacco particolarmente performante. Il miglior modo per difendersi dal phishing è utilizzare il buon senso quando si leggono le e-mail e prestare molta attenzione nel momento in cui si scaricano ed eseguono gli allegati.

TOPICS
Patrizio Coccia

Nato nel 1995 e cresciuto da due genitori nerd, non poteva che essere orientato fin dalla tenera età verso un mondo fatto di videogiochi e nuove tecnologie. Fin da piccolo ha sempre esplorato computer e gadget di ogni tipo, facendo crescere insieme a lui le sue passioni. Dopo aver completato gli studi, ha lavorato con diverse realtà editoriali, cercando sempre di trasmettere qualcosa in più oltre alla semplice informazione. Amante del cioccolato fondente, continua a esplorare nuove frontiere digitali, mantenendo sempre viva la sua curiosità e la sua dedizione al settore.