Un gruppo di ricercatori di Fortinet ha individuato una sofisticata campagna di attacco informatico. Quest’ultimo sfrutta Microsoft Excel per diffondere il malware Remcos RAT. Tale attacco si distingue per la sua modalità operativa. Diversamente da altre minacce, non crea nuovi file sull’unità di archiviazione del computer della vittima. Rendendo così più difficile il rilevamento da parte dei software di sicurezza tradizionali. L’attacco ha inizio con una classica e–mail di phishing. Creata per sembrare una ricevuta di acquisto. Il messaggio è progettato per convincere il destinatario a scaricare un allegato apparentemente innocuo. In realtà quest’ultimo è molto pericoloso.
Excel in pericolo: ecco i dettagli della minaccia
Il documento allegato sfrutta una vulnerabilità nota di Microsoft Office. Quest’ultima consente di eseguire codice arbitrario senza autorizzazione. Una volta aperto, il file induce Excel a scaricare un file HTA (HTML Application) da un server remoto. Suddetto file è mascherato da vari strati di script – JavaScript (JS), VBScript (VBS) e PowerShell. In questo modo si tenta di eludere la rilevazione da parte degli antivirus. A esecuzione avvenuta, il file HTA scarica un ulteriore eseguibile, anch’esso protetto da tecniche di offuscamento per evitare l’individuazione.
In tale fase, l’eseguibile avvia un altro script PowerShell che implementa la tecnica del process hollowing. Un metodo avanzato per eseguire codice malevolo. Il codice legittimo di un processo viene sostituito con quello del malware, permettendo così al codice di Remcos RAT di essere eseguito nella memoria del processo compromesso. Il tutto senza installarsi su disco. Tale approccio non solo evita il rilevamento, ma permette anche al malware di mantenere il controllo sul dispositivo compromesso per più tempo più.
Per proteggersi da tali minacce, si consiglia di non aprire mai allegati provenienti da fonti sospette o sconosciute. È importante considerare che con la crescente attenzione riservate a tali campagne, sono necessari ulteriori soluzioni di sicurezza avanzate e costantemente aggiornate per prevenire intrusioni come quelle che stanno colpendo Excel.
