Come sappiamo questa maledetta guerra si svolge non solo sul territorio fisico ma anche nel cyberspazio. 

Un recente bollettino da parte di #CERT-UA, il computer emergency and response team ucraino, ha affermato che un attacco di #phishing mirato alle agenzie governative ucraine è stato condotto da gruppi criminali che hanno cercato di installare il software di monitoraggio Remcos #RAT sui dispositivi delle vittime. 

La diffusa campagna di phishing è stata attribuita a un gruppo noto come #UAC-0050. CERT-UA considera che il fine ultimo dell'attacco sia lo spionaggio. 

Entrando nei dettagli, l'attacco di phishing inizia con e-mail che si presentano come Ukrtelecom, una compagnia telefonica ucraina, e includono un archivio decoy #RAR. L'archivio RAR contiene due file: un file RAR protetto da password di grandi dimensioni (oltre 600 MB) e un file di testo che contiene una password per accedere al file RAR. Il secondo archivio RAR include un eseguibile che installa Remcos RAT, dopo di che gli attaccanti guadagnano il controllo completo sui sistemi infettati. 

Remcos è venduto da Breaking Security (www.breakingsecurity.net), azienda che offre servizi di cybersecurity e #Ramcos ovvero un "Remote Administration Tool leggero, veloce e altamente personalizzabile con una vasta gamma di funzionalità". Esiste in versione gratuita e premium, con quest'ultima venduta a 62 dollari. 

La versione più recente del malware (v4.2.0) è uscita a gennaio, con nuove tecniche di evasione. Questa variante viene distribuita tramite un file di installazione #NSIS. 

Questa ultima versione di Remcos sfrutta la tecnica Dynamic Imports per eludere la rilevazione da parte degli strumenti di analisi statica. Inoltre, esegue il process hollowing e #syscall diretti come ulteriore tecnica di evasione.

Tweet