Il trojan Remcos viaggia sullo spam Covid-19
Microsoft ha individuato alcune campagne spam a tema Covid-19 che mirano a diffondere il malware Remcos
I ricercatori di cyber security di Microsoft ">hanno evidenziato l'insorgere di almeno due campagne spam mirate a tema Covid-19. E collegate alla diffusione del malware Remcos. Al momento le campagne riguardano gli Stati Uniti e la Corea. Ma sono ben progettate ed "esportabili" anche da noi. Sono infatti mirate, tra l'altro, alle aziende che chiedono di partecipare alle iniziative dei rispettivi Governi a supporto delle aziende in crisi. Dato che questo è un tema caldo anche in Italia, meglio prestare attenzione.
Una campagna di spam "impersona" una agenzia governativa statunitense a cui fanno capo alcuni finanziamenti alle imprese. Allegato alle mail di spam c'è quello che appare come un documento lecito. Un file PDF da firmare come ricevuta per la richiesta di finanziamenti. In realtà quella che appare come documento PDF è una immagine disco. Che con un doppio clic installa Remcos.
Altri attacchi ancora basati su Remcos sono un po' meno sofisticati. Si tratta di campagne di phishing in cui l'allegato-trappola si presenta come un semplice documento informativo. È invece, ancora una volta, un installer per il malware.
L'interfaccia del modulo dii controllo di RemcosIl lato positivo di queste campagne è che sono limitate e brevi. Un tentativo, secondo Microsoft, di "volare sotto i radar" dei principali vendor di cyber security. Ma proprio l'attenzione dedicata a creare attacchi poco visibili deve imporre una certa attenzione.
Remcos è un RAT, ossia un Remote Access Trojan. È liberamente disponibile perché viene presentato come un tool per il controllo remoto lecito dei computer. In realtà viene spesso usato come trojan ostile per campagne di esfiltrazione di informazioni. Dato che è molto noto è anche ben identificabile dagli anti-malware. Le campagne che lo diffondo a scopi illeciti si basano su installer mediamente sofisticati che devono appunto "nascondere" Remcos mentre lo scaricano sul sistema-bersaglio.
Una volta installato, Remcos consente di prendere il controllo quasi completo di un computer. Integra per questo funzioni di keylogging, cattura dello schermo, registrazione via webcam e microfono. Ma anche rilevazione e gestione dei processi in corso, upload e download di file, ricerca di file in locale. Persino spegnimento, sospensione, riavvio del computer. Ne esistono già alcune analisi approfondite che illustrano le sue varie funzionalità.
Una campagna di spam "impersona" una agenzia governativa statunitense a cui fanno capo alcuni finanziamenti alle imprese. Allegato alle mail di spam c'è quello che appare come un documento lecito. Un file PDF da firmare come ricevuta per la richiesta di finanziamenti. In realtà quella che appare come documento PDF è una immagine disco. Che con un doppio clic installa Remcos.
Altri attacchi ancora basati su Remcos sono un po' meno sofisticati. Si tratta di campagne di phishing in cui l'allegato-trappola si presenta come un semplice documento informativo. È invece, ancora una volta, un installer per il malware.
L'interfaccia del modulo dii controllo di RemcosIl lato positivo di queste campagne è che sono limitate e brevi. Un tentativo, secondo Microsoft, di "volare sotto i radar" dei principali vendor di cyber security. Ma proprio l'attenzione dedicata a creare attacchi poco visibili deve imporre una certa attenzione.Remcos è un RAT, ossia un Remote Access Trojan. È liberamente disponibile perché viene presentato come un tool per il controllo remoto lecito dei computer. In realtà viene spesso usato come trojan ostile per campagne di esfiltrazione di informazioni. Dato che è molto noto è anche ben identificabile dagli anti-malware. Le campagne che lo diffondo a scopi illeciti si basano su installer mediamente sofisticati che devono appunto "nascondere" Remcos mentre lo scaricano sul sistema-bersaglio.
Una volta installato, Remcos consente di prendere il controllo quasi completo di un computer. Integra per questo funzioni di keylogging, cattura dello schermo, registrazione via webcam e microfono. Ma anche rilevazione e gestione dei processi in corso, upload e download di file, ricerca di file in locale. Persino spegnimento, sospensione, riavvio del computer. Ne esistono già alcune analisi approfondite che illustrano le sue varie funzionalità.
Rimani sempre aggiornato, seguici su Google News!
Seguici
Notizie correlate
Speciali Tutti gli speciali
Calendario Tutto
Mag 07
Huawei Italy Enterprise Roadshow 2024 - Roma
Mag 08
Road to NIS2 - Padova
Mag 09
IDC Future of Digital Infrastructure Forum 2024
Mag 09
Huawei Italy Enterprise Roadshow 2024 - Caserta
Mag 14
Roadshow SMB “Exclusive On the Road” 2024 - Treviso
Mag 14
Huawei Italy Enterprise Roadshow 2024 - Aci Castello
Mag 16
Road to NIS2 - Roma
Mag 21
WithSecure - Gestione delle Vulnerabilità e Regolamentazione NIS2
Mag 22
Roadshow SMB “Exclusive On the Road” 2024 - Bologna
G11 Media Networks
SecurityOpenLab e' un canale di BitCity, testata giornalistica registrata presso il tribunale di Como ,
n. 21/2007 del
11/10/2007- Iscrizione ROC n. 15698
G11 MEDIA S.R.L.
Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.
