Il documento allegato sfrutta una vulnerabilità nota di Microsoft Office. Quest’ultima consente di eseguire codice arbitrario senza autorizzazione. Una volta aperto, il file induce Excel a scaricare un file HTA (HTML Application) da un server remoto. Suddetto file è mascherato da vari strati di script – JavaScript (JS), VBScript (VBS) e PowerShell. In questo modo si tenta di eludere la rilevazione da parte degli antivirus. A esecuzione avvenuta, il file HTA scarica un ulteriore eseguibile
, anch’esso protetto da tecniche di offuscamento per evitare l’individuazione.In tale fase, l’eseguibile avvia un altro script PowerShell che implementa la tecnica del process hollowing. Un metodo avanzato per eseguire codice malevolo. Il codice legittimo di un processo viene sostituito con quello del malware, permettendo così al codice di Remcos RAT di essere eseguito nella memoria del processo compromesso. Il tutto senza installarsi su disco. Tale approccio non solo evita il rilevamento, ma permette anche al malware di mantenere il controllo sul dispositivo compromesso per più tempo più.
Per proteggersi da tali minacce, si consiglia di non aprire mai allegati provenienti da fonti sospette o sconosciute. È importante considerare che con la crescente attenzione riservate a tali campagne, sono necessari ulteriori soluzioni di sicurezza avanzate e costantemente aggiornate per prevenire intrusioni come quelle che stanno colpendo Excel.