Gli esperti di sicurezza di SentinelOne hanno segnalato nelle scorse ore l’esistenza di una nuova campagna di phishing che mira ad aziende e istituzioni dell’Europa dell’est, il cui obiettivo è la distribuzione di Remcos RAT tramite DBatLoader, andando ad aggirare il controllo dell’account utente (UAC) di Windows.
Remcos RAT aggira il controllo dell'account utente di Windows
Andando più in dettaglio, l’attacco ha inizio con la ricezione da parte delle vittime di un’email che sembra provenire da un mittente fidato. In allegato c’è un file tar.lz che dovrebbe contenere un documento finanziario, ma in realtà all’interno dell’archivio ci sono gli eseguibili di DBatLoader, camuffati però da documenti Microsoft Office, LibreOffice e PDF usando l’icona delle applicazioni o una doppia estensione.
Andando ad eseguire il loader, viene prelevato un secondo payload da Microsoft OneDrive o Google Drive e viene creata la directory fake C:\Windows \System32 in cui sono copiati tre file: easinvoker.exe (che è quello legittimo), netutils.dll (che è infetto) e KDECO.bat (anch'esso infetto).
Il malware esegue easinvoker.exe che carica netutils.dll (DLL hijacking) che esegue KDECO.bat. Considerando il fatto che i file sono si trovano in una directory simile all’originale, Windows non mostra l’avviso del controllo account utente (UAC) e lo script batch riesce a installare Remcos RAT e va ad aggiungere una chiave nel registro per l'avvio automatico.
Per evitare di incappare in problemi di sicurezza informatica di queso tipo è sempre bene installare sul proprio computer un buon software antivirus, come nel caso dell’ottimo Norton 360 Premium che molto spesso viene proposto pure a prezzo scontato.