RAT installati tramite una funzione di ricerca legittima di Windows, è allarme!

Secondo i ricercatori di Trellix, una funzione di ricerca legittima di Windows (il gestore del protocollo URI, search-ms) verrebbe sfruttata da attori malevoli per distribuire payload arbitrari da server remoti e compromettere sistemi con i trojan di accesso remoto AsyncRAT e Remcos RAT.

Il gestore del protocollo URI (search-ms), offre la possibilità alle applicazioni e ai collegamenti HTML di avviare ricerche locali personalizzate su un dispositivo.

Lo sfruttamento

Durante un attacco che sfrutta tale funzione, gli attori delle minacce possono creare e-mail ingannevoli contenenti link o allegati HTML che reindirizzano gli utenti a siti Web compromessi. 

Fonte Trellix

Quando gli utenti visitano questi siti, del codice javascript avvia ricerche su un server remoto utilizzando proprio il gestore del protocollo URI “search” / “search-ms”. 

Fonte Trellix

I file dannosi restituiti e ospitati in remoto vengono quindi visualizzati in Esplora risorse mascherati da PDF o altre icone attendibili.

Fonte Trillix

Questa tecnica è altalmente ingannevole in quanto dà all’utente l’illusione della fiducia lasciando supporre che i file provengano dal proprio sistema, eseguendo invece inconsapevolmente del codice dannoso.

Flusso di attacco (Fonte Trellix)

Il click su uno dei link propinati, porta all’esecuzione di una DLL non autorizzata utilizzando l’utilità “regsvr32.exe”.

File PDF con URL contenente il gestore protocollo URI “search-ms” (Fonte Trellix)

Infezione anche tramite script Powershell

In altri casi riscontrati, i file short link vengono utilizzati invece per eseguire script PowerShell, che, a loro volta, scaricano payload aggiuntivi in ​​background, mentre visualizzano un documento PDF fasullo per ingannare le vittime.

In tutti i casi le infezioni portano all’installazione di AsyncRAT e Remcos RAT allo scopo di rubare informazioni sensibili e venderli a terzi.

Consigli

È fondamentale astenersi dal fare clic su URL sospetti o dal scaricare file da fonti sconosciute, poiché queste azioni possono esporre i sistemi a payload dannosi forniti tramite il gestore del protocollo URI ‘search’ / ‘search-ms‘”, consigliano infine i ricercatori.

Di seguito la scansione su VirusTotal di uno dei campioni PDF rilevati. Basso il tasso di rilevamento dei security vendors al momento della stesura di questo articolo (18/60).

https://www.virustotal.com/gui/file/bd33b3aa897df0702913dbecd5ad2f7e63df11f4c2a7e461dad7f89abe218a45

Su Salvatore Lombardo 241 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.