Swiss post themed malspam campaign distributing #Parallax RAT in Switzerland 🇨🇭— abuse.ch (@abuse_ch) April 28, 2020
XLS:https://t.co/OkE3jshk69
EXE:https://t.co/ZjLqf0JjfS
URL:https://t.co/gMH6fyJKdz
Parallax RAT C2:
bhg.canadacentralregistrar\.ca (79.134.225.51)
Hosted at AnMaXX:https://t.co/Jmvy8mCS84
La mail proviene apparentemente dall’indirizzo info@post.ch (ma il mittente è falsificato) e inizia con un testo di questo genere:
From: "Post CH AG - Info Sendungsstatus" (info@post.ch)
Subject: Sendung aus - zugestellt
Attachment: Post.ch.980056030002148543.xls
Il documento Excel allegato, se viene aperto con Microsoft Office, chiede di abilitare le macro per poter leggere il contenuto del documento. Se l’utente lo fa, spinto dalla comprensibile curiosità e dall’idea purtroppo errata che un documento non possa fare danni, il documento Excel ostile usa un sistema molto ingegnoso per eludere gli antivirus: converte le parole senza senso presenti al suo interno in una DLL, che verrà poi caricata ed eseguita.
Le parole e i numeri del foglio di calcolo sono infatti i pezzi iniziali del malware vero e proprio, che poi va a prendere il resto dei pezzi su Internet, dove li trova nascosti e criptati all’interno di un’immagine caricata su Imgur.com.
È l’equivalente informatico del classico espediente hollywoodiano di eludere i controlli di sicurezza fisici portando i vari pezzi di un’arma separatamente e smontati, per poi riassemblarli dopo i controlli.
Il malware in questione è un RAT (remote access trojan o remote administration tool), che prende il controllo del computer infettato allo scopo di commettere altri reati informatici.
La difesa, in questo caso, è molto semplice: mai attivare macro nei documenti.
Fonti aggiuntive: Malpedia, Morphisec.