Viber sotto attacco UAC-0184: ZIP-trappola e Remcos RAT per spiare enti militari ucraini

News
Visite: 354

Nel panorama della cyber security cresce l’uso di app di messaggistica come vettore di attacco, e un caso recente mostra come Viber possa diventare un canale efficace per operazioni di cyber spionaggio. Un gruppo di minaccia allineato alla Russia identificato come UAC-0184 ha preso di mira enti governativi e militari ucraini distribuendo archivi ZIP malevoli tramite messaggi su Viber. La campagna prosegue un filone già osservato in passato con esche legate al contesto bellico e tecniche di social engineering pensate per aumentare la probabilità che il destinatario apra il contenuto.

La catena di infezione inizia con un archivio ZIP inviato in chat. All’interno sono presenti più file LNK di Windows, cioè collegamenti, mascherati da documenti Microsoft Word ed Excel. Il trucco consiste nel presentare un file che sembra legittimo e operativo, mentre in parallelo il collegamento avvia codice che prepara il download del payload successivo. In pratica la vittima vede un documento esca e abbassa la guardia, mentre sullo sfondo parte l’esecuzione malevola.

Una volta aperto il file LNK, viene richiamato uno script PowerShell che scarica un secondo archivio ZIP da un server remoto. Questo passaggio consente agli attaccanti di aggiornare facilmente i componenti e di variare indicatori e infrastruttura. Il contenuto scaricato ricostruisce ed esegue Hijack Loader direttamente in memoria attraverso un processo multistadio, riducendo le tracce su disco e complicando l’analisi forense. Tra le tecniche citate emergono DLL side loading e module stomping, usate per eludere i controlli di sicurezza.

Il loader effettua anche una ricognizione dell’ambiente cercando software di difesa installati, includendo diversi prodotti di sicurezza noti, tramite calcolo di hash CRC32 associati ai programmi. Poi stabilisce persistenza con attività pianificate e applica contromisure contro il rilevamento basato su firme statiche. La fase finale prevede l’esecuzione furtiva di Remcos RAT, un remote access trojan spesso impiegato per controllo remoto, esfiltrazione dati e monitoraggio delle attività, anche tramite iniezione in un processo legittimo come chime.exe.

Pin It
, , , ,

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:00 - 13:00
14:00 - 18:00

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2026 Fata Informatica. Tutti i diritti riservati.
We use cookies

Utilizziamo i cookie sul nostro sito Web. Alcuni di essi sono essenziali per il funzionamento del sito, mentre altri ci aiutano a migliorare questo sito e l'esperienza dell'utente (cookie di tracciamento). Puoi decidere tu stesso se consentire o meno i cookie. Ti preghiamo di notare che se li rifiuti, potresti non essere in grado di utilizzare tutte le funzionalità del sito.

Ok Rifiuta