Una nuova campagna malspam/phishing riguardante servizi finanziari e informazioni relativi alla emergenza sanitaria COVID19 ha catturato l’attenzione dei ricercatori di sicurezza di Bitdefender.
Le e-mail trasmesse veicolerebbero la diffusione del Rat (Remote access trojan) Remcos.
Remcos nato come software legittimo per il controllo e la sorveglianza remoti, distribuito dalla software house Breaking Security (https://breaking-security.net/remcos/), ha ben presto guadagnato popolarità tra i criminal hacker afferenti in particolar modo ai gruppi APT Gorgon e APT33 che non hanno perso l’occasione per sfruttarne le funzionalità in modo illecito.
La nuova campagna malspam
A quanto si apprende dal rapporto pubblicato (https://www.bitdefender.com/files/News/CaseStudies/study/390/Bitdefender-PR-Whitepaper-Remcos-creat5080-en-EN-GenericUse.pdf), il malware si diffonderebbe tramite e-mail di phishing riferenti a vario titolo al coronavirus e contenenti un link malevolo. I messaggi inviterebbero a scaricare un file ZIP seguendo tale link.
Il campione e-mail analizzato, le cui intestazioni mostrano comunque delle incongruenze, si presenta come un messaggio proveniente dal Ministero della Salute della Colombia che con il pretesto di una violazione alle norme sanitarie contro la prevenzione e la diffusione della malattia multa la persona destinataria con una pena pecuniaria di 936.000 pesos.
Il messaggio intimidatorio potrebbe così convincere l’utente a scaricare per maggiori informazioni la documentazione cliccando sul link camuffato (hxxps://app[.]getresponse[.]com/click[.]html?x=a62b&lc=B7eg5s&mc=99&s=BE7A3gg&u=Qzvxf&z=EJQbVyH&) e innescando così la catena d’infezione con il file eseguibile “sancion e90252gf violacion a las normas sanitarias.exe”.
Le tecniche di evasione osservate
I recenti risultati emersi dall’attività di analisi del team Active Threat Control di Bitdefender hanno destato particolare interesse tra gli stessi ricercatori. Diverse sono state, infatti, le tecniche di evasione osservate:
- Per eludere gli strumenti di monitoraggio API, la ricerca e la chiamata delle DLL non avvengono tramite le tradizionali chiamate di funzione LoadLibrary (carica) e GetProcAddress (ricerca) ma attraverso una mappatura delle DLL nello spazio degli indirizzi di memoria;
- viene sfruttato il servizio di image hosting legittimo “Imgur” per nascondere il payload in immagini tramite tecniche di steganografia ;
- utilizzo delle interfacce COM (Component Object Model) per rendere varie funzionalità interagenti con il sistema operativo più difficili da individuare nelle analisi. Ad esempio per scaricare l’immagine PNG dal sito Imgur viene adoperato il Background Intelligent Transfer Service (BITS);
- impiego di più livelli di iniezione di codice per celare le azioni malevole dietro processi apparentemente legittimi;
- tecniche di anti reverse-engineering per ostacolare i processi di analisi.
In particolare, secondo gli stessi ricercatori l’utilizzo di servizi di image hosting aprirebbe nuovi scenari di attacco soprattutto perché tali siti web, essendo anche spesso popolari, generalmente non risultano sospetti per le soluzioni di sicurezza e gli algoritmi di steganografia applicati alle immagini bene si prestano come strumenti di anti rilevamento dei payload codificati.
Il RAT Remcos e i rischi correlati
In questa campagna gli attaccanti hanno utilizzato, per aumentare il rischio d’infezione e ottenere il maggior successo di diffusione del RAT, non solo tecniche per eluderne il rilevamento statico/dinamico e per garantirne la persistenza ma anche le ben note strategie persuasive d’ingegneria sociale.
Così facendo, qualora Remcos venisse estratto, decodificato e installato con successo, su richiesta degli attaccanti potrebbe non solo carpire informazioni dal computer della vittima ma anche essere impiegato per eseguire altre tipologie di malware.
Malspam, considerazioni finali
Sebbene il picco nella diffusione di Remcos sia stato rilevato alla fine della scorsa estate soprattutto in Colombia e la maggior parte delle rilevazioni dell’attuale variante proviene principalmente dalla sua capitale Bogotà, non si può escludere che campagne simili possano essere sfruttate dai criminal hacker, approfittando dei temi correlati al coronavirus, anche in altre regioni del mondo.
Come rimarcato dagli stessi ricercatori, il modo più efficace di difesa contro queste tipologie di minacce afferenti al phishing/malspam e oramai divenute all’ordine del giorno, resta sempre e comunque la sensibilizzazione costante dell’opinione pubblica.