Ancora una volta gli esperti di sicurezza informatica lanciano un avvertimento agli utenti Windows. Dopo il pericoloso malware inviato tramite documenti Word insospettabili, sono i ricercatori di SentinelOne a confermare l’utilizzo recente di una falla di Windows esistente da due anni per ingannare centinaia di persone e tentare di estorcere denaro.
Windows ancora sotto attacco con una vecchia falla di sicurezza
La ricerca in questione illustra in particolare un difetto del Windows User Account Control sfruttato per aggirare la protezione dei PC e installare malware con RAT, ovvero Remote Access Trojans. In particolar modo, si tratta del virus Remcos.
L’attacco inizia con una tradizionale e-mail di phishing, breve ma efficace, nella quale le ignare vittime vengono indirizzate a presunte fatture non pagate o altri documenti in allegato da leggere urgentemente. Il file associato al messaggio ricevuto contiene dunque l’eseguibile DBatLoader che, anzitutto, all’avvio scarica un secondo payload da un servizio cloud pubblico creando una directory apparentemente affidabile nel sistema, simile ad altre già esistenti.
La differenza chiave con queste ultime è banale, ma può ingannare con estrema facilità gli utenti meno vigili: le cartelle create contengono spesso uno spazio extra. Ad esempio, al posto di “C:\Windows\System32” ci sarà una cartella “C:\Windows \System32”. Windows tratta questa cartella fittizia come quella legittima proprio a causa della falla sopra citata, permettendo così l’esecuzione di file dannosi senza la necessità di conferme da parte dell’utente.
Come evitare questo virus
Fortunatamente la regione presa di mira dai cybercriminali è quella dell’Est Europa. Pertanto, nel Belpaese ci troviamo relativamente al sicuro. Il consiglio che vi diamo resta però lo stesso di sempre: non scaricare allegati da e-mail poco affidabili. Solo in questo modo si potrà mantenere il proprio computer Windows protetto dai malintenzionati.