Un nuovo attacco informatico ha recentemente messo in allerta la comunità della sicurezza informatica, sfruttando una tecnica insolita che ha permesso a un malware di eludere i sistemi di rilevamento per diverse settimane. Questo malware, identificato durante un intervento di incident response, si distingue per l’utilizzo di header DOS e PE corrotti all’interno di un file eseguibile per Windows, rendendo difficile l’analisi e la ricostruzione del payload direttamente dalla memoria.

Gli header DOS e PE sono componenti fondamentali dei file eseguibili Windows, fornendo al sistema operativo le informazioni necessarie per avviare correttamente i programmi. La corruzione intenzionale di questi header rappresenta una strategia efficace per evitare le analisi automatiche e i controlli degli antivirus, in quanto molti strumenti di sicurezza si affidano proprio a queste sezioni per identificare la natura di un file.

Il malware in questione è stato individuato in esecuzione all’interno di un processo dllhost.exe su una macchina compromessa. L’accesso iniziale è avvenuto sfruttando infrastrutture di accesso remoto, con la distribuzione del codice malevolo tramite script PowerShell lanciati tramite PsExec. Questo approccio ha permesso al threat actor di mantenere una presenza discreta nel sistema, mentre il malware operava indisturbato.

Una volta attivato, il malware decifra in memoria le informazioni relative al dominio di command-and-control (C2) e stabilisce una comunicazione cifrata tramite protocollo TLS con il server remoto, denominato rushpapers[.]com. La struttura multithread del trojan permette la gestione di connessioni contemporanee, consentendo all’attaccante di prendere pieno controllo del sistema compromesso. Tra le funzionalità osservate, il malware è in grado di:

• Catturare screenshot
• Enumerare e manipolare i servizi di sistema
• Trasformare il dispositivo infetto in un server in attesa di istruzioni o nuove connessioni

Questo caso evidenzia come le tecniche di evasione stiano diventando sempre più sofisticate, puntando a compromettere sistemi Windows con metodologie che ostacolano l’analisi forense e rallentano le capacità di risposta degli specialisti di sicurezza. È fondamentale, quindi, rafforzare le difese, aggiornare costantemente gli strumenti di detection e adottare strategie di monitoraggio della memoria in tempo reale per prevenire attacchi di questo tipo e limitare i danni in caso di compromissione.