Un nuovo insidioso attacco informatico sta compromettendo numerosi computer di tutto il mondo, sfruttando una vulnerabilità di Microsoft Office da tempo individuata e segnalata: a portare alla luce il vero responsabile delle infezioni veicolate da Excel sono gli esperti di Fortinet, azienda statunitense specializzata nello sviluppo di software, dispositivi e servizi di cybersecurity.
Alla base di questa massiccia campagna di phishing c'è l'utilizzo da parte degli hacker di una variante più recente del già noto malware di tipo commerciale "Remcos RAT" che, a differenza delle versioni precedenti non necessita della creazione di nuovi file sull'hard disk del personal computer della vittima di turno.
Come spesso accade in questo genere di cyberattacchi, tutto inizia con l'invio di un messaggio di posta elettronica che in questo caso dovrebbe contenere la ricevuta di un ordine effettuato online: l'obiettivo, vista la diffusione globale dell'e-commerce, è quello di trovare la persona giusta a cui far scaricare il documento presente in allegato, ovviamente infetto.
Una volta effettuato questo passaggio il gioco è fatto: sfruttando una vulnerabilità di Office che consente di avviare l'esecuzione di un codice non autorizzato, Excel viene forzato ad effettuare il download di un documento HTA, "HTML Application", da un server remoto. Questo, che si maschera dietro una serie di script per non essere individuato facilmente dai software antivirus, provvede a sua volta a scaricare un secondo file da un altro server. Questa serie di passaggi concatenati prosegue, dato che il nuovo eseguibile appena scaricato, anche in questo caso ben mascherato per ingannare i sistemi di difesa informatica installati sul PC, avvia uno script PowerShell: sfruttando la tecnica di "process hollowing" (nota anche come runPE), utilizzata per occultare un payload malevolo all'interno di un processo legittimo in esecuzione su Windows, è infine possibile scaricare ed eseguire Remcos RAT. Come detto, questa versione del malware non si installa sull'hard disk bensì direttamente nella memoria del processo designato.
Grazie a Remcos RAT, i cybercriminali hanno a loro disposizione un'ampia rosa di operazioni da poter effettuare sul sistema infetto: è possibile ad esempio sottrarre file e informazioni riservate, compreso il contenuto degli Appunti, modificare o interrompere i processi in esecuzione, e lanciare una serie di comandi impartiti da server esterni, come attivare videocamere o microfoni, registrare le operazioni fatte a schermo dalla vittima e tenere sotto controllo gli input di mouse e tastiere.
L'unica maniera per cercare di proteggersi da minacce del genere è sempre quella di non scaricare mai allegati di dubbia provenienza, ma a onor del vero ormai i cybercriminali si
stanno evolvendo per rendere sempre più difficile individuare le possibili truffe: per rendere più credibili le finte fatture, per esempio, sono soliti utilizzare profili DocuSign assolutamente regolari.- dal lunedì al venerdì dalle ore 10:00 alle ore 20:00
- sabato, domenica e festivi dalle ore 10:00 alle ore 18:00.
