Una nuova campagna malspam ha catturato l’attenzione dei ricercatori di sicurezza di SentinelOne. Le e-mail trasmesse veicolerebbero la diffusione di Remcos Rat e gli obiettivi principali di questa campagna sarebbero le organizzazioni dell’Europa orientale.
Remcos nato come software legittimo per il controllo e la sorveglianza remoti, distribuito dalla software house Breaking Security, ha guadagnato popolarità tra i criminali informatici che non hanno perso l’occasione per sfruttarne le funzionalità in modo illecito.
In genere il RAT viene distribuito tramite e-mail di phishing e installato sui sistemi utilizzando una varietà tecniche (impiego di archivi, immagini ISO e VBScript incorporati in immagini). Recentemente, anche il CERT ucraino ha pubblicato rapporti su campagne veicolanti Remcos RAT rivolte a istituzioni statali ucraine a scopo di spionaggio.
La nuova campagna di distribuzione
A quanto si apprende dal rapporto pubblicato, il malware si diffonderebbe tramite e-mail di phishing camuffate da file finanziari come fatture o documenti di gara. Con tali e-mail che sembrano provenire da istituzioni rinomate, gli attaccanti riuscirebbero ad indurre gli utenti a scaricare l’allegato incluso nel contenuto dell’e-mail ovvero un archivio tar.lz contenente un payload di prima fase, l’eseguibile DBatLoader.
Il loader malware DBatLoader, mascherato da un documento LibreOffice, PDF o MS Office consentirebbe successivamente il recupero del payload di seconda fase da fonti cloud come Google Drive o Microsoft OneDrive.
“Quando un utente decomprime l’allegato ed esegue l’eseguibile all’interno, DBatLoader scarica ed esegue un payload offuscato di dati secondari da una posizione cloud pubblica“, si legge nel rapporto SentinelOne.
Bypass dell’UAC di Windows
DBatLoader una volta installato eseguirebbe uno script batch iniziale di Windows salvato nella directory ” %Public%\Libraries“.
Lo script riuscirebbe ad aggirare il controllo dell’account utente di Windows UAC consentendo di condurre attività con privilegi elevati senza alcun prompt di avviso tramite la creazione di directory attendibili ma fittizie.
“Questo script abusa di un metodo noto per aggirare il controllo dell’account utente di Windows che implica la creazione di directory attendibili fittizie, come %SystemRoot%\System32, utilizzando spazi finali. Ciò consente agli aggressori di condurre attività elevate senza avvisare gli utenti.“, commenta Aleksandar Milenkoski di SentinelOne.
Nella fattispecie lo script:
- copierebbe nella directory fittizia “Windows \System32” uno script batch “KDECO.bat”, un eseguibile legittimo “easinvoker.exe” (Exchange ActiveSync Invoker), una DLL malevola “netutils.dll”;
- eseguirebbe easinvoker.exe (un eseguibile auto-elevated) che risulta suscettibile alla DLL hijacking consentendo così l’esecuzione della DLL “netutils.dll” senza emettere alcun prompt UAC.
Antirilevamento e persistenza
La DLL (netutils.dll), eseguirebbe lo script KDECO.bat come misura antirilevamento, per escludere dall’analisi di Microsoft Defender la directory “C:\Users”.
La persistenza infine verrebbe garantita creando una chiave di registro di esecuzione automatica che punta a un file Internet Shortcut per eseguire DBatLoader e lanciare a sua volta Remcos RAT tramite un’iniezione di processo.
“Abbiamo osservato un’ampia varietà di configurazioni Remcos, la maggior parte delle quali configurava capacità di keylogging e furto di screenshot, nonché domini DNS dinamici duckdns per scopi C2.”, evidenzia l’esperto.
Raccomandazioni
Sebbene Remcos RAT, stia attualmente rappresentando una minaccia concreta per le organizzazioni e le imprese dell’Europa orientale, non si può escludere che il fenomeno possa estendersi anche nel resto di Europa e in altri paesi.
Per ridurre i rischi, SentinelOne raccomanda:
- agli utenti di prestare attenzione agli attacchi di phishing e di evitare di aprire allegati provenienti da fonti sconosciute;
- agli amministratori di implementare misure di sicurezza adeguate e accrescere la consapevolezza tra gli utenti educandoli a seguire le buone regole.
