I cyber criminali affinano le loro tecniche per eludere le misure di sicurezza informatica, sfruttando metodi sempre più sofisticati per distribuire malware. Un recente rapporto di Forcepoint X-Labs ha messo in luce una campagna che utilizza VenomRAT, un trojan di accesso remoto (RAT), per infettare i computer tramite file di immagine del disco virtuale (VHD). Questa nuova strategia permette agli attaccanti di bypassare le tradizionali difese.
Cos’è VenomRAT e perché è pericoloso
VenomRAT è un malware progettato per fornire agli attaccanti il pieno controllo remoto del sistema infetto. Può essere utilizzato per:
- Rubare credenziali
- Registrare sequenze di tasti (keylogging)
- Controllare il sistema in modo invisibile
- Scaricare ed eseguire altri malware
La novità di questa campagna è l’uso di VHD (Virtual Hard Disk) come vettore di infezione, una tecnica meno comune che rende più difficile l’identificazione da parte dei software di sicurezza.
Come avviene l’infezione
Gli attaccanti inviano e-mail fraudolente con oggetto relativo a ordini di acquisto o documenti importanti, spingendo il destinatario a scaricare e aprire un file archivio allegato.
L’allegato, una volta estratto, contiene un file .vhd, un formato di disco virtuale utilizzato da Windows. Quando l’utente fa doppio clic su di esso, il sistema operativo lo monta automaticamente come un’unità disco.
All’interno del VHD si trova uno script batch che, una volta eseguito, attiva un comando PowerShell altamente offuscato (crittografia Base64 e AES) che:
- Scarica payload aggiuntivi da internet
- Si copia in più directory per garantire la persistenza
- Modifica il registro di sistema per nascondere le attività dannose
- Si connette a un server C2 (Command & Control) per ricevere istruzioni
Perché i file VHD sono usati dai cyber criminali
I file VHD sono meno comuni rispetto ai classici eseguibili (.exe) o agli script (.bat, .vbs) usati nei malware tradizionali. Questo li rende meno sospetti per le soluzioni di sicurezza basate sulle firme, permettendo agli attaccanti di aggirare il rilevamento antivirus.
Inoltre Windows monta automaticamente i file VHD senza chiedere conferma, i controlli di sicurezza standard non eseguono scansioni approfondite su VHD e gli attacchi basati su VHD sono meno documentati rispetto ad altre tecniche.
Chi è a rischio
Questa tecnica può colpire utenti di ogni settore, ma è particolarmente pericolosa per:
- Aziende e professionisti che ricevono spesso ordini o documenti via email
- Utenti Windows meno esperti, inclini ad aprire allegati sospetti
- Organizzazioni con difese informatiche basate su controlli tradizionali
L’uso di hard disk virtuali (VHD) per distribuire malware rappresenta un’ulteriore evoluzione delle tecniche utilizzate dai criminali informatici per sfuggire ai controlli di sicurezza. VenomRAT, con il suo approccio sofisticato basato su PowerShell offuscato e comunicazione con server di comando e controllo, dimostra come le minacce informatiche siano sempre più insidiose.
Per proteggersi, utenti e aziende devono adottare strategie di difesa avanzate e multilivello, combinando formazione, monitoraggio dei processi e soluzioni di sicurezza aggiornate. Solo un approccio proattivo può mitigare il rischio di cadere vittima di tali attacchi:
- Formazione e sensibilizzazione
- Bloccare i file VHD sconosciuti
- Monitorare i processi di PowerShell
- Soluzioni di sicurezza avanzate
- Aggiornamenti e patch di sicurezza
