Netcrook Logo
👤 LOGICFALCON
🗓️ 10 Apr 2026  

Nube di Inganni: Remcos RAT si Maschera da Servizio Microsoft in un Blitz di Phishing su Google Storage

Una nuova e astuta campagna di phishing arma l’infrastruttura affidabile di Google e gli stessi binari di Microsoft per far passare Remcos RAT anche oltre difese di sicurezza vigili.

Se pensavi che marchi affidabili come Google e Microsoft fossero porti sicuri nella tempesta digitale, ripensaci. I cybercriminali hanno messo a punto una nuova campagna sofisticata che trasforma proprio questi pilastri della fiducia in rampe di lancio per una delle minacce spyware più note di internet: Remcos RAT. Il loro ultimo playbook non solo beffa gli strumenti di sicurezza basati sulla reputazione, ma svanisce anche sullo sfondo delle normali operazioni quotidiane del computer - lasciando le vittime esposte e i difensori a rincorrere.

Dentro l’Attacco: dallo Storage Cloud al Controllo Occulto

La campagna inizia in modo abbastanza innocuo: un link di Google Drive arriva nella casella di posta di un bersaglio, apparendo legittimo quanto qualsiasi documento condiviso. Ma un singolo clic avvia una sequenza accuratamente coreografata. Il file JavaScript iniziale, progettato per eludere l’analisi automatizzata, avvia uno script Visual Basic (VBS) che scarica ed esegue silenziosamente ulteriori payload.

Sullo sfondo, il malware scava più a fondo. I file vengono copiati in cartelle Windows nascoste e la persistenza viene stabilita piazzando script malevoli nella directory di Avvio. Script PowerShell orchestrano quindi il download di payload offuscati, portando infine a un loader .NET recuperato da un servizio pubblico di paste. Ogni fase è progettata per la furtività, con i payload che vengono eseguiti direttamente nella memoria di sistema per ridurre al minimo le tracce forensi.

Il vero colpo da maestro, però, risiede nell’abuso del RegSvcs.exe di Microsoft - un binario .NET firmato e affidabile presente su ogni macchina Windows. Invece di rilasciare un eseguibile malware evidente, gli attaccanti copiano questo file legittimo in una directory temporanea e usano il “process hollowing” per iniettare il codice di Remcos RAT direttamente nel suo spazio di memoria. Il risultato: un servizio Microsoft apparentemente normale in esecuzione sul sistema, mentre nel frattempo convoglia silenziosamente i dati verso i server di comando e controllo degli attaccanti.

Questa combinazione di distribuzione basata sul cloud ed esecuzione fileless fa sì che gli strumenti antivirus che si basano sulla reputazione dei file o sul semplice rilevamento tramite firme restino ciechi. Per identificare minacce di questo tipo, i team di sicurezza devono spostarsi verso l’analisi comportamentale - esaminando attività di scripting insolite, connessioni di rete sospette da parte di binari di sistema e un uso anomalo della memoria che tradisce il process hollowing.

La Nuova Normalità per i Difensori

Questa campagna è un campanello d’allarme: infrastrutture e binari fidati non possono più essere considerati sicuri per definizione. I Security Operations Center devono aggiungere livelli di monitoraggio avanzato e threat intelligence, tracciando indicatori sottili invece di aspettare segnali d’allarme evidenti. Per l’utente medio, persino un familiare link cloud ora richiede un secondo pensiero.

Man mano che gli attaccanti continuano a trasformare in armi gli strumenti quotidiani su cui facciamo affidamento, la linea tra attività legittima e compromissione occulta diventa sempre più sottile. In questa nuova era, vigilanza e adattabilità sono le uniche vere salvaguardie.

WIKICROOK

  • Remcos RAT: Remcos RAT è un trojan di accesso remoto che consente agli attaccanti di controllare i sistemi infetti, rubare dati, spiare e distribuire ulteriore malware da remoto.
  • Process Hollowing: Il process hollowing è una tecnica in cui il malware si nasconde nella memoria di un programma legittimo, permettendogli di eludere il rilevamento ed eseguire azioni malevole.
  • Malware Fileless: Il malware fileless è un software malevolo che viene eseguito nella memoria di un computer, evitando l’archiviazione su disco e rendendo difficile il rilevamento da parte degli strumenti di sicurezza tradizionali.
  • Persistenza: La persistenza comprende tecniche usate dal malware per sopravvivere ai riavvii e restare nascosto sui sistemi, spesso imitando processi o aggiornamenti legittimi.
  • Server di Comando e Controllo (C2): Un server di Comando e Controllo (C2) gestisce da remoto i dispositivi infettati da malware, inviando istruzioni e ricevendo dati rubati dai sistemi compromessi.
Remcos RAT Phishing Attack Fileless Malware
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news