Sfruttare componenti e strumenti già installati su Windows per attaccare i computer, ricorrendo a pochissimi file aggiuntivi (oppure direttamente a nessuno) per non lasciare tracce. È questa una nuova strategia degli hacker identificata e descritta da Symantec in un nuovo report di sicurezza, disponibile a questa pagina. L’obiettivo dei pirati informatici è quello di andare a caccia di dati appoggiandosi a utility poco conosciute dei sistemi operativi di Microsoft “sopravvivendo”, scrive Symantec, “con quello che la ‘natura’ già offre”. Si tratta di una metafora significativa, utilizzata dalla società di cybersecurity per descrivere quattro categorie di attacchi sempre più frequenti nel panorama Windows. La prima tipologia, detta “dual-use tools”, è la più importante e fa ricorso a componenti legittimi presenti nei sistemi operativi, ma impiegati per scopi criminali.

Ad esempio, i ricercatori hanno monitorato una campagna che faceva leva sullo strumento Windows Management Instrumentation Command-line (Wmic), un processo che mette a disposizione una linea di comando per Windows Management Interface (Wmi). Wmi viene utilizzata per l’amministrazione delle risorse sia in locale sia da remoto e può essere sfruttata per controllare i processi ed eseguire script.

Con una campagna coordinata di phishing si può dare il via a un attacco multilivello, composto da diverse azioni concatenate fra loro. Quando la vittima clicca sull’Url contenuto nella mail, in cui si nasconde un comando Wmic, parte il download di un file Xsl contenente codice Javascript. La stringa viene poi eseguita tramite mshta.exe, un processo legittimo di Windows legato all’Html Application Host.

Inoltre, il Javascript è il responsabile del download di file Html Application (Hta), di tre Dll e di moduli aggiuntivi contenenti vari payload per procedere al furto vero e proprio di dati sensibili: dalle password delle email alle credenziali per effettuare l’accesso ai siti Web, passando per un keylogger e l’apertura di backdoor. “L’uso di Wmi da parte dei cybercriminali non è nuovo, ma solitamente questo strumento viene utilizzato per la diffusione di componenti: in questo caso è impiegato per scaricare un file maligno”, ha scritto Symantec.

I ricercatori hanno aggiunto che, appoggiandosi a Wmic, gli hacker possono agire senza dare nell’occhio. L’anno scorso circa il due per cento di campioni di malware analizzati dal vendor ha sfruttato Wmi per scopi illeciti, ma il fenomeno è in continua ascesa. Esistono poi altre tre categorie di attacchi: diretti solo alla memoria, persistenza fileless e assalti ai file non portable executable (Pe).