Rilevata Nuova Attività di Remcos RAT: Campagna di Phishing che Diffonde una Nuova Variante di Malware Senza File
Indice:
I ricercatori di cybersecurity hanno identificato una campagna avversaria in-the-wild in corso, che sfrutta una vulnerabilità RCE nota in Microsoft Office tracciata come CVE-2017-0199 sfruttata da un file Excel dannoso utilizzato come allegato esca in email di phishing. La campagna di phishing è progettata per distribuire una nuova versione fileless del famigerato Remcos RAT malware e prendere il pieno controllo remoto di un sistema mirato.
Rileva Remcos RAT
Il phishing continua a essere un vettore di attacco leader, mostrando un aumento del 58,2% degli attacchi di phishing nel 2023 rispetto all’anno precedente, sottolineando la crescente sofisticazione e diffusione degli attori delle minacce. La nuova versione fileless del Remcos RAT diffusa tramite email di phishing pone rischi crescenti per gli utenti Windows permettendo agli avversari di ottenere il pieno controllo remoto di un dispositivo compromesso, rubare dati sensibili e svolgere ulteriori operazioni offensive. La piattaforma SOC Prime per la difesa informatica collettiva cura un’intera collezione di algoritmi di rilevamento per aiutare i team di sicurezza a difendersi proattivamente dagli attacchi di phishing che sfruttano Remcos RAT.
Premi Esplora Rilevamenti per raggiungere i rilevamenti pertinenti mappati a MITRE ATT&CK®, esplora i rilevamenti su misura CTI per un’indagine sulle minacce semplificata, e converti il codice in modo automatico in oltre 30 formati di linguaggio supportati da SIEM, EDR o Data Lake in uso. Applica la Ricerca Leggera per interrogare oltre 12.000 etichette di dati su misura all’interno del cloud ospitato localmente da SOC Prime assicurando un accesso completamente trasparente e privato ai dati e una velocità ultrarapida per un’esperienza di ricerca semplificata.
Analisi Remcos RAT
I laboratori FortiGuard di Fortinet hanno recentemente scoperto una campagna di phishing che prende di mira gli utenti Windows e diffonde una nuova iterazione del malware fileless Remcos RAT.
Remcos RAT è un malware commerciale, che offre agli acquirenti una gamma di strumenti avanzati per gestire da remoto i computer sotto il loro controllo. Tuttavia, i cybercriminali hanno sfruttato Remcos per rubare informazioni sensibili dalle vittime e manipolare i loro sistemi per scopi dannosi. Remcos RAT è stato inoltre utilizzato in campagne di phishing dal gruppo di hacker sostenuto dalla Russia UAC-0050, prendendo di mira principalmente le autorità statali ucraine. Ad esempio, durante settembre e ottobre 2024, UAC-0050 ha condotto almeno 30 tentativi di violare i computer degli addetti alla contabilità utilizzando il malware REMCOS.
Il flusso di infezione è innescato da un’email di phishing che contiene un file esca Excel di Microsoft allegato che si maschera da documento relativo a un ordine. Quest’ultimo sfrutta una vulnerabilità RCE nota di Microsoft Office in Office (CVE-2017-0199) per recuperare un file HTA chiamato “cookienetbookinetcahce.hta” da un server remoto. Il file HTA viene ulteriormente eseguito sul dispositivo compromesso utilizzando l’utilità mshta.exe nativa di Windows. È degno di nota che il codice del file HTA è offuscato attraverso più livelli utilizzando vari linguaggi di scripting e tecniche di codifica, per eludere il rilevamento e ostacolare l’analisi anti-malware.
Il binario esegue uno script PowerShell offuscato impiegando tecniche di anti-analisi e anti-debugging per bypassare il rilevamento. Gli avversari impiegano una vasta gamma di tecniche di evasione di rilevamento, come un gestore di eccezioni vettoriali, API ottenute dinamicamente, valori costanti calcolati e hooking delle API.
Una volta superate le difese di anti-analisi, il malware utilizza il processo hollowing per eseguire codice dannoso direttamente in memoria, all’interno di un nuovo processo chiamato “Vaccinerende.exe”, rendendo il nuovo Remcos RAT una variante fileless.
Remcos RAT raccoglie metadati di sistema ed esegue comandi ricevuti dal suo server C2. Questi includono il furto di file, la terminazione di processi, la gestione dei servizi di sistema, la modifica del Registro di sistema di Windows, l’esecuzione di script, la cattura di dati dalla clipboard, l’accesso alla fotocamera e al microfono, il download di payload, la registrazione dello schermo e la disabilitazione dell’input da tastiera o mouse. Il codice dannoso modifica il registro di sistema per creare una nuova voce di auto-avvio, assicurando la persistenza e mantenendo il controllo del dispositivo della vittima anche dopo un riavvio.
La nuova variante fileless di Remcos RAT, combinata con molteplici tecniche di evasione del rilevamento, rende più difficile per i difensori identificare prontamente l’attività dannosa. Affidandosi a l’intera suite di prodotti SOC Prime per l’ingegneria di rilevamento potenziata dall’intelligenza artificiale, la caccia automatizzata alle minacce e il rilevamento avanzato delle minacce, i team di sicurezza possono ottenere accesso a soluzioni all’avanguardia per la difesa proattiva costruendo al contempo una postura di cybersecurity robusta per un futuro sicuro.
