skip to Main Content

Cybercrime, in aumento nuovi metodi di attacco per diffondere malware

Il CERT-PA e Trustwave: Attenzione, cresce l’uso da parte del cybercrime di formati legati ad immagini disco come .ISO e/o .DAA per veicolare RAT quali NanoCore, Remcos e Lokibot

Il cybercrime sta sfruttando nuovi metodi di attacco per diffondere malware. Lo denunciano gli esperti di cyber security del CERT-PA. L’ultimo è una campagna malspam per veicolare RAT (Remote Access Trojan) tramite allegati malevoli costituiti da formati legati ad immagini disco. L’hanno scoperta ricercatori di Trustwave, sottolineando che l’utilizzo di questi formati è incrementato nel corso dell’anno e che recentemente è stato usato il corriere FedEx come esca, per inoculare NanoCore, Remcos e Lokibot attraverso l’invio di file con estensione .ISO e/o .DAA. L’utilizzo di estensioni associate alle immagini disco, infatti, permette di superare criteri di restrizione presenti su estensioni note. Alcuni di questi formati sono nativamente supportati da Windows e possono risultare difficilmente identificabili dalle consuete protezioni antivirus.

La campagna malspam via FedEx per veicolare NanoCore con il .ISO

Gli esperti di cyber security spiegano che nel caso di NanoCore, si tratta di un falso messaggio e-mail, tipico delle campagne di malspam. Obiettivo: indurre a cliccare su un collegamento per effettuare il download di un archivio ISO contenente un singolo eseguibile del malware. Facendo clic sul collegamento viene scaricato un archivio ISO chiamato “FedEx, pdf.iso“. Questo è stato compattato utilizzando tecniche di offuscamento, per cui da una prima analisi non viene rilevato come malevolo. Il file ISO, però, contiene un eseguibile che parte non appena aperto/montato l’archivio. Lo stesso procede quindi a creare un processo di comunicazione verso il server C&C.

Il caso di Remcos, quando il malware è diffuso attraverso un file in formato immagine disco DAA

Il caso di Remcos vede una campagna malspam con allegato un file in formato immagine disco DAA e con mittente “spoofato”. Questo contiene solo un eseguibile, che ha lo stesso nome del file DAA principale ma con estensione .com e/o .exe, che veicola l’ultima versione di Remcos RAT, la 2.5.0 Pro. Il malware utilizza un servizio di DDNS per collegarsi ai server C&C e il suo aggiornamento continuo lo rende particolarmente difficile da rilevare. La versione 2.5.0 Pro introduce anche una nuova funzionalità: la possibilità di cancellare accessi e cookie dei browser, forse per cancellare ogni traccia dell’attività svolta. Peraltro, il file DAA non sono riconosciuti da Windows, quindi non verranno montati in automatco. Solo i computer con applicazioni specifiche installate, come PowerISO, UltraISO e WinArchiver, possono aprire questi file. Di conseguenza si potrebbe ipotizzare una campagna mirata di spear phishing, anche se non ci sono conferme ufficiali.

Back To Top