L'attacco RAT di Fileless Remcos elude l'antivirus utilizzando script di PowerShell
Logo

Seleziona la lingua

Italian

Down Icon

Seleziona Paese

England

Down Icon

L'attacco RAT di Fileless Remcos elude l'antivirus utilizzando script di PowerShell

L'attacco RAT di Fileless Remcos elude l'antivirus utilizzando script di PowerShell

Una nuova ondata di attacchi utilizza PowerShell e file LNK per installare segretamente Remcos RAT, consentendo il controllo remoto completo e la sorveglianza dei sistemi infetti.

Gli esperti di sicurezza informatica della Qualys Threat Research Unit (TRU) hanno recentemente scoperto un sofisticato attacco informatico che utilizza il linguaggio di scripting PowerShell per installare segretamente Remcos RAT (Remote Access Trojan).

Questo metodo consente agli aggressori di agire senza essere rilevati da molti programmi antivirus tradizionali, perché il codice dannoso viene eseguito direttamente nella memoria del computer, lasciando pochissime tracce sul disco rigido.

Per vostra informazione, Remcos RAT è un potente strumento utilizzato dai criminali informatici per ottenere il controllo completo sui computer infetti. Una volta installato, consente loro di spiare le vittime, rubare dati ed eseguire altre azioni dannose.

Secondo l'analisi TRU di Qualys, l'attacco inizia quando un utente apre un file dannoso all'interno di un archivio ZIP, new-tax311.ZIP, che contiene un file di collegamento denominato "new-tax311.lnk". Cliccando su questo file .LNK non si apre un programma normale. Utilizza invece uno strumento Windows chiamato "mshta.exe" per eseguire uno script di PowerShell confuso (offuscato).

Questo script prepara il computer all'infezione da Remcos RAT. Innanzitutto, cerca di indebolire Windows Defender, ignorando la cartella "C:/Users/Public/". Modifica inoltre le impostazioni di PowerShell per consentire l'esecuzione di script non sicuri senza preavviso e tenta di eseguirsi in segreto. Per garantire che Remcos RAT si avvii ogni volta che il computer viene acceso, lo script aggiunge informazioni al Registro di sistema di Windows.

Flusso di attacco (Fonte: Qualys TRU)

Lo script scarica anche diversi file nella cartella "C:/Users/Public/" . Uno potrebbe essere un file falso e innocuo come pp1.pdf. Scarica anche due file chiave: 311.hta (impostato per essere eseguito all'avvio e simile a " xlab22.hta') e " 24.ps1.' Il file " 24.ps1 " è lo script PowerShell principale e nascosto che contiene il RAT di Remcos. Questo script utilizza speciali funzioni di Windows (API Win32) per caricare ed eseguire il RAT di Remcos direttamente nella memoria del computer, evitando il rilevamento da parte dei sistemi di sicurezza basati sui file.

Il programma RAT TRU di Remcos analizzato dai ricercatori è un programma V6.0.0 a 32 bit progettato per essere stealth e consentire agli aggressori di controllare i computer infetti. Ha una struttura modulare, il che significa che è composto da diverse parti in grado di svolgere compiti diversi. Il programma memorizza anche dati crittografati, che decifra quando necessario.

Questi dati crittografati contengono l'indirizzo del server remoto a cui si connette ( readysteaurantscom sulla porta 2025 tramite una connessione sicura chiamata TLS), il nome del malware (Remcos) e un codice speciale ( Rmc-7SY4AX ) che utilizza per identificare se il computer è già infetto.

Remcos può eseguire diverse azioni dannose, tra cui keylogging, copia del contenuto degli appunti, acquisizione di screenshot, registrazione da microfoni e webcam e furto di informazioni utente. Cerca anche di impedire ai programmi di sicurezza di analizzarle.

Il team Qualys TRU sottolinea che gli utenti dovrebbero attivare la registrazione di PowerShell e il monitoraggio AMSI (una funzionalità di Windows che aiuta a rilevare gli script dannosi) e utilizzare una soluzione EDR (Endpoint Detection and Response) potente per una migliore protezione.

In un commento su Hackread.com, Xiaopeng Zhang , analista IPS e ricercatore di sicurezza presso i FortiGuard Labs di Fortinet, ha dichiarato : " Gli aggressori dietro Remcos stanno evolvendo le loro tattiche. Invece di sfruttare la vulnerabilità CVE-2017-0199 tramite allegati Excel dannosi, ora utilizzano file LNK ingannevoli camuffati da icone PDF per indurre le vittime a eseguire un file HTA dannoso " .

Xiaopeng ha avvertito che " PowerShell continua a svolgere un ruolo nella campagna. Tuttavia, l'ultima variante adotta un approccio fileless, utilizzando PowerShell per analizzare ed eseguire Remcos direttamente in memoria tramite l'API CallWindowProc(). Questo segna un cambiamento rispetto ai metodi precedenti, in cui Remcos veniva scaricato come file prima dell'esecuzione " .

HackRead

HackRead

Notizie simili

Tutte le notizie
Animated ArrowAnimated ArrowAnimated Arrow
Informazioni sui clienti di Coinbase rubate da agenti esteri corrotti
HackRead

Informazioni sui clienti di Coinbase rubate da agenti esteri corrotti

Walmart afferma che i prezzi saliranno alle stelle tra circa due settimane a causa dei dazi di Trump
gizmodo

Walmart afferma che i prezzi saliranno alle stelle tra circa due settimane a causa dei dazi di Trump

Gli Stati Uniti avrebbero trovato dispositivi di comunicazione non autorizzati nella tecnologia solare cinese
gizmodo

Gli Stati Uniti avrebbero trovato dispositivi di comunicazione non autorizzati nella tecnologia solare cinese

Supporto dell'intelligenza artificiale nel percorso di cura del paziente
healthtechmagazine

Supporto dell'intelligenza artificiale nel percorso di cura del paziente

La causa sostiene che il PAC pro-Trump di Elon Musk non ha pagato i firmatari della petizione per gli stati indecisi
gizmodo

La causa sostiene che il PAC pro-Trump di Elon Musk non ha pagato i firmatari della petizione per gli stati indecisi