Negli ultimi tempi si è assistito a una nuova ondata di attacchi informatici che sfruttano tecniche fileless, rendendo più difficile il rilevamento da parte delle tradizionali soluzioni di sicurezza. Un esempio emblematico è la campagna basata su PowerShell che distribuisce il malware Remcos RAT utilizzando file LNK e MSHTA, strumenti legittimi di Windows spesso usati in modo malevolo dai cyber criminali.

Gli attaccanti confezionano file LNK dannosi all’interno di archivi ZIP che appaiono come documenti Office, spesso con temi legati alle tasse per aumentare la probabilità che le vittime li aprano. Una volta aperto il file LNK, viene avviato mshta.exe, un componente Microsoft usato per eseguire applicazioni HTML (HTA). Questo programma scarica e avvia da remoto un file HTA offuscato che, tramite Visual Basic Script, scarica e lancia uno script PowerShell, un PDF decoy e un ulteriore file HTA. Inoltre, il sistema viene modificato tramite il registro di Windows per assicurare la persistenza del malware.

Lo script PowerShell decodifica e ricostruisce un loader shellcode che esegue il payload Remcos RAT direttamente in memoria, senza lasciare tracce evidenti sul disco. Remcos RAT è uno strumento di controllo remoto molto noto nel panorama del cybercrime: permette ai criminali di prendere pieno controllo del sistema compromesso, raccogliere dati, registrare sequenze di tasti, acquisire schermate, monitorare la clipboard e ottenere informazioni sui programmi installati. Il malware mantiene una connessione persistente e cifrata con un server C2, facilitando il furto di dati e il comando a distanza.

Diffusione delle tecniche fileless e varianti di malware

Questa metodologia fileless non è nuova, ma sta diventando sempre più diffusa per la sua capacità di eludere i controlli basati su file system e antivirus tradizionali. Le campagne fileless sono spesso supportate da tecniche di ingegneria sociale, come l’uso di email di phishing con allegati LNK o HTA, documenti Office compromessi, link a siti malevoli e persino risorse bitmap nascoste all’interno di file .NET (tecniche di steganografia) per veicolare ulteriori malware come Agent Tesla, NovaStealer, VIPKeylogger, XLoader e NetSupport RAT.

Phishing evoluto e intelligenza artificiale

Parallelamente, si osserva una crescita delle campagne di phishing basate su intelligenza artificiale e tecniche polimorfiche, che adattano in tempo reale i contenuti delle email per sfuggire ai filtri. L’impiego di AI consente di generare messaggi personalizzati e sofisticati, aumentando il rischio per utenti e aziende.

Contromisure e difesa

Per difendersi da queste minacce è fondamentale adottare soluzioni di sicurezza avanzate, in grado di analizzare in tempo reale i comandi PowerShell e bloccare allegati LNK sospetti prima che raggiungano gli utenti. Solo con un approccio multilivello e aggiornato è possibile contenere l’evoluzione delle campagne malware di nuova generazione.