Un nuovo attacco informatico sfrutta il software legittimo ConnectWise ScreenConnect per diffondere AsyncRAT, un pericoloso trojan di accesso remoto progettato per sottrarre credenziali e dati sensibili, inclusi quelli relativi a portafogli di criptovalute. I ricercatori di sicurezza hanno scoperto che gli attaccanti utilizzano ScreenConnect per accedere da remoto ai sistemi delle vittime. Una volta ottenuto l’accesso, lanciano un loader di tipo fileless basato su una combinazione di VBScript e PowerShell, scaricando e avviando componenti offuscati da server esterni.

Tattiche di attacco

Tra le tattiche impiegate, gli aggressori inviano installatori di ScreenConnect trojanizzati spacciandoli per documenti aziendali, tramite email di phishing. L’utente viene così ingannato e, una volta eseguito il file, il loader PowerShell si occupa di scaricare due ulteriori payload denominati “logs.ldk” e “logs.ldr”. Il primo, una DLL, scrive su disco un secondo script VBScript che crea una persistenza tramite una finta attività pianificata denominata “Skype Updater”, garantendo l’esecuzione automatica del malware a ogni accesso dell’utente.

Il secondo script PowerShell richiama la DLL scaricata e le passa come input il secondo payload, avviando così AsyncRAT. Questo malware è in grado di registrare i tasti premuti, rubare credenziali memorizzate nei browser più diffusi (come Chrome, Edge, Firefox, Opera e Brave), identificare il sistema e cercare applicazioni e plugin di portafogli per criptovalute installati. Tutti i dati raccolti vengono inviati a un server di comando e controllo gestito dagli attaccanti tramite connessione TCP, permettendo loro di impartire comandi e ricevere ulteriori payload.

Tecniche fileless e difficoltà di rilevazione

AsyncRAT è particolarmente insidioso perché sfrutta tecniche fileless: opera principalmente in memoria, senza lasciare file malevoli permanenti sui dischi delle vittime. Questo ne rende la rilevazione e la rimozione molto più difficile rispetto agli attacchi tradizionali. Le impostazioni di connessione al server di controllo possono essere integrate direttamente nel malware oppure recuperate dinamicamente da un URL remoto, rendendo il traffico malevolo ancora più difficile da bloccare.

Raccomandazioni per la sicurezza

Gli attacchi che sfruttano strumenti legittimi come ScreenConnect e che utilizzano tecniche fileless rappresentano una minaccia crescente per la sicurezza informatica, soprattutto perché aggirano facilmente le soluzioni di difesa tradizionali. Per proteggersi, è fondamentale aggiornare costantemente i software, fare attenzione alle email di phishing e adottare strumenti di sicurezza avanzati in grado di monitorare anche le attività in memoria.