Remcos RAT

Gli esperti di sicurezza di SentinelOne hanno segnalato un nuovo attacco di phishing che mira ad aziende e istituzioni dell’Europa dell’est, l’obiettivo è la distribuzione di Remcos RAT tramite DBatLoader, andando ad aggirare il controllo dell’account utente (UAC) di Windows.

Remcos RAT

L’attacco tramite email sembra provenire da un mittente fidato. In allegato c’è un file tar.lz che dovrebbe contenere un documento finanziario, ma in realtà all’interno dell’archivio ci sono gli eseguibili di DBatLoader, camuffati però da documenti Microsoft Office, LibreOffice e PDF.

Andando ad eseguire il loader, viene prelevato un secondo payload da Microsoft OneDrive o Google Drive e viene creata la directory fake C:\Windows \System32 in cui sono copiati tre file: easinvoker.exe (che è quello legittimo), netutils.dll (che è infetto) e KDECO.bat (anch’esso infetto).

Il malware esegue easinvoker.exe che carica netutils.dll (DLL hijacking) che esegue KDECO.bat. Considerando il fatto che i file sono si trovano in una directory simile all’originale, Windows non mostra l’avviso del controllo account utente (UAC) e lo script batch riesce a installare Remcos RAT e va ad aggiungere una chiave nel registro per l’avvio automatico.

Per evitare di incappare in problemi di sicurezza informatica di queso tipo è sempre bene installare sul proprio computer un buon software antivirus.