Il CERT-AgID (Computer Emergency Response Team dell’Agenzia per l’Italia Digitale) ha recentemente rilevato una campagna di malspam attiva in Italia, finalizzata alla diffusione del malware AsyncRAT.
Particolarità della campagna: l’uso avanzato di tecniche di steganografia per nascondere il codice malevolo all’interno di file apparentemente innocui.
Indice degli argomenti
E-mail di phishing mascherate da richieste commerciali
La catena d’infezione ha inizio con l’invio di una e-mail in lingua inglese, apparentemente provenienti dall’azienda “Arabian Construction Co”.
Il contenuto della comunicazione simulando una richiesta di preventivo rivolta a potenziali fornitori italiani, invece di allegati diretti contiene un link (OPWP/2025009) che rimanda al download di un archivio .tar ospitato sulla nota piattaforma legittima per la gestione dei contenuti in cloud “box.com”.
Fonte: CERT-AgID.
L’inganno si nasconde nel JavaScript
L’analisi del CERT-AgID ha potuto appurare che all’interno dell’archivio si trova un file JavaScript offuscato che, una volta eseguito, attiva un secondo stadio tramite uno script PowerShell, per scaricare una risorsa da uno spazio di storage di posta elettronica di una casella Aruba.
Ed è qui che entra in gioco la steganografia.
Fonte: CERT-AgID.
Come si legge dal codice PowerShell, il file “rlb6iho2_400.gif” memorizzato nella variabile $picle, contiene in realtà una porzione di codice codificata in Base64, nascosta tra i marcatori <<sudo_png>> e <<sudo_odt>>.
Fonte: CERT-AgID.
Decodificando questa sezione, gli esperti sono riusciti a risalire alla DLL malevola che verrebbe richiamata dallo script PowerShell con una serie di parametri a corredo, tra cui una URL, trascritta in modo inverso e memorizzata nella variabile $gangbusters, utilizzata per scaricare il payload finale.
La DLL che includerebbe anche un controllo anti-VM procederebbe pertanto a scaricare e avviare AsyncRAT, un trojan ad accesso remoto (RAT) noto per il controllo remoto dei sistemi compromessi e l’esfiltrazione di dati.
Interessante notare come, secondo le rilevazioni del cacciatore di malware JAMESWT, la stessa immagine GIF sia stata utilizzata di recente anche per distribuire altri malware, tra cui Remcos, Formbook, Avemaria e MassLogger.
AsyncRAT: azioni di mitigazione e raccomandazioni
Il CERT-AgID fa sapere che ha collaborato con Aruba per la rimozione tempestiva della risorsa dannosa e ha inoltre diffuso gli Indicatori di Compromissione (IoC).
Questa campagna del malware AsyncRAT evidenzia ancora una volta come l’ingegnosità degli attaccanti continui a evolversi, sfruttando tecniche come la steganografia per superare i controlli tradizionali.
Una corretta informazione e l’adozione di buone pratiche rimangono fondamentali per difendersi.
Gli utenti e le organizzazioni sono pertanto invitati a prestare particolare attenzione a e-mail sospette, soprattutto se contenenti link o riferimenti ad allegati non richiesti e mantenere aggiornati gli strumenti di protezione.
