Gli esperti di Forcepoint X-Labs segnalano che il malware Remcos continua a rappresentare una minaccia sofisticata e persistente: si diffonde principalmente tramite phishing e si adatta costantemente per eludere le difese informatiche, consentendo agli attaccanti di mantenere un accesso prolungato e nascosto ai sistemi infetti.
Nella recente campagna, secondo quanto riportato dai ricercatori, i criminali informatici starebbero utilizzando account e-mail compromessi di piccole aziende o scuole per veicolare Remcos RAT, inviando messaggi di spear phishing con all’interno allegati compressi contenenti file shortcut di Windows (.LNK).
Fonte: X-Labs di Forcepoint.
Indice degli argomenti
Perché Remcos è un malware particolarmente insidioso
Remcos (acronimo di Remote Control & Surveillance) è un malware della categoria RAT (Remote Access Trojan), progettato per fornire controllo remoto completo su un sistema infetto.
È uno strumento inizialmente sviluppato per usi legittimi di amministrazione remota da un’azienda chiamata Breaking Security, ma nel tempo è stato largamente adottato da cyber criminali, gruppi APT (Advanced Persistent Threat) e vari attori di minacce per ottenere il keylogging, lo screenshot, il furto di credenziali e la gestione remota completa del dispositivo.
Infatti, sebbene venga venduto pubblicamente da Breaking Security come strumento di amministrazione remota per usi legittimi (come assistenza IT, gestione di sistemi remoti ecc.) l’uso non autorizzato o malevolo costituisce un crimine informatico.
Per questo motivo, Remcos si colloca in quella zona grigia degli hacking tools cui fanno parte anche Cobalt Strike e Metasploit.
Remcos: la catena di infezione
Si apprende dal rapporto dei ricercatori di Forcepoint X-Labs che il file .LNK contenuto in un archivio .TAR allegato al messaggio di posta elettronica, incorpora uno script PowerShell che scarica un .DAT contenente un eseguibile codificato in Base64.
Tale eseguibile, una volta decodificato, si presenta con un’icona PDF ma è in realtà un file .PIF.
In seguito, questo eseguibile crea copie di se stesso e file batch altamente offuscati, con strategie mirate a eludere gli antivirus.
Fonte: X-Labs di Forcepoint.
“Questo file exe principale (file .pif) esegue successivamente l’iniezione di processo nel file di sistema legittimo di Windows SndVol.exe , responsabile del controllo e della regolazione del volume e delle impostazioni audio. Si connette a un dominio server C2 ospitato su OVHcloud 5y9pfu[.]missileries-fenagle[.]yelocom[.]com utilizzando una porta insolita, la 32583, per la sua comunicazione”, spiega Mayur Sewani di X-Labs.
Mascheramento e creazione di directory ingannevoli
Tramite strumenti nativi Windows come “esentutl”, la catena d’infezione prevederebbe in path insoliti la copia di istanze con un nuovo nome del processo “cmd.exe” creando anche cartelle fittizie per ingannare sia i software di sicurezza che gli utenti più sospettosi.
Nella fattispecie, si realizzerebbe una finta cartella (“C:\Windows␣\SysWOW64”, notare lo spazio dopo “Windows”) tramite un bypass dei path NT (carattere “\\?\”) allo scopo di imitare una directory legittima di Windows in cui copiare il payload, aumentando così in modo significativo le possibilità di elusione.
Fonte: X-Labs di Forcepoint.
Si legge ancora nel rapporto X-Labs che “il prefisso “\\?\” è di un percorso di NT Object Manager utilizzato nell’API di Windows. Consente l’accesso ai percorsi di file e directory bypassando le normali regole di normalizzazione e analisi dei percorsi (come limiti di lunghezza o controlli dei caratteri non validi). Questa tecnica viene talvolta utilizzata dal malware per aggirare gli strumenti di sicurezza che si aspettano percorsi standardizzati.”.
Infine, la catena d’infezione garantirebbe al malware l’accesso alla macchina vittima in modo persistente, tramite operazioni sul registro di Windows e attività pianificate, disattivando l’UAC (User Account Control) e installando task programmati per l’auto esecuzione ad ogni avvio.
Remcos: raccomandazioni di difesa
Il malware Remcos dimostra chiaramente come le minacce informatiche stiano diventando sempre più resilienti.
L’uso di account compromessi, tecniche di bypass NT, esecuzione persistente denuncia una sofisticazione nuova nel panorama delle cyber minacce.
Per una sicurezza efficace, è fondamentale adottare un approccio multi-livello combinando consapevolezza, tecnologie preventive e analisi comportamentali.
Ecco alcune ulteriori raccomandazioni:
- bloccare tramite filtri e-mail allegati compressi sospetti e file .LNK;
- identificare cartelle con caratteri o spazi extra;
- individuare la presenza del processo cmd.exe in path non standard;
- eseguire scansioni di sicurezza della memoria;
- mantenere antivirus e EDR aggiornati per riconoscere gli indicatori di compromissione.
