Stando ad alcuni recenti rapporti di Cyber Security News, si sta diffondendo una nuova campagna e-mail di phishing che ha come obiettivo diffondere un nuovo malware fileless.
Stiamo parlando dell’utilizzo di un’applicazione HTML, ovvero un file .hta, che può essere utilizzato per diffondere altri malware come AgentTesla, Remcos e LimeRAT.
Questo particolare malware agisce attraverso un formato Portable Executable (PE), che viene eseguito senza creare il file sul sistema della vittima. L’e-mail di phishing si presenta come un avviso di bonifico bancario (o qualcosa di molto simile). Inoltre, il messaggio di posta elettronica contiene un allegato con un’immagine ISO incorporata con un file di script .hta.
Quando le vittime aprono il file ISO, viene eseguito in automatico il file .hta incorporato, che crea una serie di processi composto che includono:
- mshta.exe
- cmd.exe
- powershell.exe
- RegAsm.exe
Che portano all’installazione dei suddetti malware.
Aprendo il file ISO si avvia il processo d’infezione del malware fileless
I malware fileless, come quello appena scoperto, sono una delle più grandi minacce presenti in rete al giorno d’oggi.
L’assenza di file da individuare, rendono di fatto molto difficile la vita agli antivirus che, in molti casi, non individuano l’infezione. Proprio per questo motivo, ancor più rispetto a tanti altri pericoli del Web, in questo caso è essenziale prevenire efficacemente il rischio.
Come nel caso di questo malware, infatti, è bene fare enorme attenzione alla posta elettronica con mittenti e allegati sospetti. Un altro passo verso la sicurezza è l’abitudine di diffidare di e-mail che tendono ad instillare un senso di urgenza nel lettore.
Anche se nel caso dei malware fileless gli antivirus vengono raggirati, adottare una suite di sicurezza completa permette all’utente di fornire di altri strumenti potenzialmente utili. Firewall, password manager e VPN, per esempio, possono comunque offrire un minimo di protezione rispetto a queste minacce.