Gli esperti di SentinelOne hanno scoperto una nuova campagna di phishing contro aziende e istituzioni dell’est Europa. L’obiettivo dei cybercriminali è distribuire Remcos RAT tramite DBatLoader, sfruttando un vecchio trucco per aggirare il controllo dell’account utente (UAC) di Windows. Il consiglio è cambiare le impostazioni di UAC e installare una soluzione di sicurezza che rileva queste minacce.
DBatLoader e Remcos RAT aggirano UAC
L’attacco inizia con il classico phishing. Le ignare vittime ricevono un’email che sembra provenire da un mittente fidato, come una nota istituzione o dal dipartimento delle vendite. In allegato c’è un file tar.lz
che dovrebbe contenere un documento finanziario (ad esempio una fattura). All’interno dell’archivio ci sono gli eseguibili di DBatLoader mascherati come documenti Microsoft Office, LibreOffice e PDF usando l’icona delle applicazioni o una doppia estensione.
Se l’utente esegue il loader viene prelevato un secondo payload da Microsoft OneDrive o Google Drive. Successivamente viene creata la directory fasulla C:\Windows \System32
(notare lo spazio dopo Windows, ndr), in cui sono copiati tre file: easinvoker.exe
(legittimo), netutils.dll
(infetto) e KDECO.bat
(infetto).
Il malware esegue easinvoker.exe
che carica netutils.dll
(DLL hijacking) che esegue KDECO.bat
. Dato che i file sono presenti in una directory simile all’originale, Windows non mostra l’avviso del controllo account utente (UAC). Lo script batch installa quindi Remcos RAT e aggiunge una chiave nel registro per la persistenza (avvio automatico).
Gli amministratori IT dovrebbero monitorare le email sospette, la creazione di directory e impostare il controllo dell’account utente su “Notifica sempre“.