Alla fine dell’estate 2020, il team Active Threat Control di Bitdefender ha rilevato un notevole incremento di attacchi malware Remcos, la maggior parte dei quali dislocati in Colombia. Mentre la famiglia di appartenenza di questo malware è nota da tempo sia ai criminali informatici che ai ricercatori di malware, questa nuova campagna ha catturato l’attenzione di Bitdefender nel momento in cui è arrivata sui computer delle vittime tramite email di phishing riguardanti servizi finanziari e informazioni relative al virus COVID-19.
Principali risultati emersi dell’attività di analisi e ricerca di Bitdefender:
- Remcos sta sfruttando la campagna di vaccinazione COVID-19 attraverso messaggi di spam che ingannano gli utenti e attivano il malware
- Utilizza payload come le immagini codificate attraverso la tecnica della steganografia; una volta che queste immagini vengono pubblicate sulla piattaforma di hosting Imgur, il malware scarica, decodifica ed estrae i payload
- Sfrutta numerose tattiche anti-reverse-engineering per far perdere tempo ai ricercatori di laboratorio
- Si tratta di un malware che è stato utilizzato in passato da gruppi APT sofisticati come Gorgon/APT33
- Remcos può estrarre le informazioni dal computer della vittima ed eseguire altri malware su richiesta di chi sta realizzando l’attacco.
Cos’è Remcos
Remcos è un software di controllo remoto e sorveglianza sviluppato e distribuito da un’azienda denominata Breaking Security. Dal 2017, quando è apparso per la prima volta sul mercato, Remcos ha guadagnato popolarità tra gli hacker criminali e si è persino inserito nel portafoglio minacce a disposizione di gruppi APT come Gorgon Group e APT33.
Modus operandi e il ruolo della piattaforma di image-hosting Imgur
Una particolarità tecnica che ha attirato l’attenzione dei ricercatori di Bitdefender è stata la comunicazione con Imgur, un servizio di image hosting e di photo-sharing, diventato popolare con l’hosting di immagini virali e meme. Le analisi effettuate dalla società di sicurezza hanno osservato che gli autori del malware hanno abusato del servizio Imgur per ospitare payload dannosi codificati come immagini, utilizzando la tecnica della steganografia.
L’utilizzo di servizi di image-hosting per distribuire payload dannosi apre le porte a nuovi vettori di attacco, poiché tali siti web sono generalmente popolari e vengono messi in whitelist dalle soluzioni di sicurezza, per cui le connessioni non risultano sospette. Inoltre, utilizzando algoritmi di steganografia personalizzati sulle immagini, scoprire payload dannosi codificati con il rilevamento statico è praticamente impossibile.
Tecniche di diffusione del malware
Il malware si diffonde tramite email di phishing, che fanno riferimento al virus COVID-19 o informazioni finanziarie, e che contengono un link dannoso. Il messaggio, redatto con cura, invita la vittima a scaricare il file ZIP seguendo il link e facendo doppio clic sul contenuto. Bitdefender ha analizzato un messaggio di phishing che mostra il link di consegna. L’e-mail si presenta come messaggio da parte del Ministero della Salute della Colombia. Si afferma che il ricevente ha violato le norme sanitarie contro la prevenzione e la diffusione della malattia e che la persona è multata per 936.000 pesos. Se il messaggio convince l’utente, questi procederà al download e all’esecuzione del file eseguibile innescando così il malware.
I possibili danni e come difendersi
Remcos può estrarre le informazioni dal computer della vittima ed eseguire altri malware su richiesta dell’hacker che sta perpetrando l’attacco.
La pandemia COVID-19 ha offerto nuove opportunità che i criminali informatici possono sfruttare approfittando della curiosità degli utenti e delle email di phishing. In questo contesto, malware come Remcos riescono ad infettare molti computer. Poiché gli hacker migliorano costantemente le loro tecniche per raggiungere un numero sempre maggiore di vittime, il modo più efficace per difendersi da tali minacce è quello di sensibilizzare l’opinione pubblica sulle email di phishing ed evitare di aprire file eseguibili provenienti da fonti sospette.
Il documento di ricerca che contiene gli aspetti tecnici di questa tipologia di attacchi con particolare attenzione ai passi più importanti compiuti tra l’email di phishing iniziale e l’esecuzione finale dell’agente Remcos è disponibile nel whitepaper scaricabile qui.
