Nuove campagne malware stealth di Remcos prendono di mira aziende e scuole

X-Labs di Forcepoint svela il malware Remcos che sfrutta nuove e subdole email di phishing provenienti da account compromessi e tecniche di evasione avanzate come il bypass dei percorsi per infiltrarsi nei sistemi, rubare credenziali e mantenere il controllo a lungo termine. Scopri come riconoscerne i segnali.

Gli esperti di sicurezza informatica degli X-Labs di Forcepoint mettono in guardia dalla continua attività del malware Remcos , una minaccia sofisticata che si adatta costantemente per aggirare le misure di sicurezza e mantenere una presenza nascosta sui computer infetti. Questo malware, spesso diffuso tramite attacchi di phishing convincenti, consente agli aggressori di stabilire un accesso a lungo termine.

Secondo quanto riportato, le campagne osservate tra il 2024 e il 2025 mostrano che il malware Remcos rimane altamente attivo e si adatta continuamente per restare nascosto, hanno osservato i ricercatori nel post del blog condiviso con Hackread.com.

L'infezione iniziale in genere inizia con un'email ingannevole proveniente da account compromessi di piccole aziende o scuole. Si tratta di account legittimi che sono stati hackerati, il che fa apparire le email affidabili e riduce la probabilità che vengano segnalate come sospette.

Queste email contengono file .LNK (Windows Shortcut) dannosi, mascherati e nascosti all'interno di allegati compressi. Una volta che un utente cade nella trappola e apre il file dannoso, Remcos si installa silenziosamente, creando cartelle nascoste sul computer della vittima.

Ciò che rende queste cartelle particolarmente insidiose è che si tratta di "directory Windows falsificate sfruttando tecniche di bypass dell'analisi dei percorsi, come l'aggiunta del prefisso \\?". Questa tecnica, che prevede l'utilizzo di uno speciale prefisso di percorso di NT Object Manager, consente al malware di imitare directory di sistema legittime come C:\Windows\SysWOW64 , rendendone incredibilmente difficile l'individuazione da parte degli strumenti di sicurezza.

Dopo l'installazione iniziale, Remcos predispone metodi per rimanere a lungo sul sistema senza essere rilevato. A tale scopo, crea attività pianificate e utilizza altri metodi furtivi, assicurandosi di mantenere aperta una backdoor per gli aggressori. Il malware tenta persino di indebolire il Controllo Account Utente (UAC) di Windows modificando un'impostazione del registro, consentendogli di funzionare con privilegi più elevati senza i consueti prompt di sicurezza.

I file LNK dannosi contengono codice PowerShell nascosto, che scarica un file .dat contenente un programma eseguibile in formato Base64, un metodo di codifica dei dati per farli sembrare testo normale, spesso utilizzato dal malware per eludere il rilevamento.

Questo file viene quindi decodificato in un programma eseguibile, in genere mascherato da un'icona PDF ma con estensione .pif, un tipo di file di collegamento insolito e raramente utilizzato. Questo eseguibile crea quindi copie di se stesso, un file di collegamento .URL e quattro file batch pesantemente camuffati con simboli speciali e testo estraneo privo di significato, tutti progettati per eludere il rilevamento antivirus.

Una volta pienamente operativo, Remcos offre agli aggressori il controllo completo, consentendo loro di rubare password, acquisire schermate, copiare file e monitorare le attività degli utenti, inclusa la verifica della connessione Internet, della lingua del sistema e dei codici paese per perfezionare i propri obiettivi.

Si invitano organizzazioni e singoli individui a prestare attenzione a scorciatoie insolite, percorsi di file insoliti e modifiche nei nomi delle cartelle, poiché potrebbero essere indicatori di un'infezione da Remcos.