VEILDrive è un attacco di tipo malware relativamente recente e sofisticato, che si distingue per le sue tecniche avanzate di evasione e distribuzione. L'obiettivo principale di VEILDrive è quello di infiltrarsi nei sistemi informatici senza essere rilevato dai tradizionali software di sicurezza.
VEILDrive utilizza una serie di tecniche per bypassare i controlli di sicurezza e le analisi comportamentali. Tra queste tecniche, vi è l'uso di file non eseguibili per iniziare l'infezione e la capacità di mascherare il proprio comportamento come qualcosa di legittimo. Spesso
sfrutta file o script apparentemente innocui per introdurre codice dannoso nel sistema.
Per esempio: un dipendente della società riceve un'e-mail di phishing ben realizzata, apparentemente inviata dal loro partner aziendale. L'e-mail contiene un allegato chiamato "Aggiornamento_Contratto2024.xlsm", un file Excel con macro abilitate.
L'e-mail afferma: "Gentile [Nome],Trovi in allegato il contratto aggiornato per l’anno 2024. Ti invitiamo a scaricarlo e firmarlo entro oggi.Cordiali saluti, [Falso mittente]".
Il dipendente, credendo che il file sia autentico, apre l’allegato e abilita le macro. La macro contiene codice offuscato che:
scarica un payload PowerShell da un server remoto controllato dagli attaccanti (via HTTPS, per sembrare legittimo);
esegue il codice PowerShell direttamente in memoria, senza salvare file sul disco rigido.
Il payload PowerShell, che è parte della catena VEILDrive, agisce come un loader e decodifica e carica in memoria un RAT (Remote Access Trojan) offuscato, che consente agli attaccanti di ottenere il controllo remoto del dispositivo tramite server C2 (Command and Control) per ricevere ulteriori comandi, come, per esempio:
registrare tutte le battiture (keylogger).
esfiltrare file sensibili come documenti finanziari.
eseguire screenshot dello schermo del dipendente.
Le azioni sopra elencanti permettono agli attaccanti di esfiltrare informazioni sensibili (bilanci, dati sui clienti, ecc.) attraverso il canale crittografato verso il server C2, e decidere di distribuire un ransomware per bloccare tutti i sistemi e chiedere un riscatto.
Nonostante VEILDrive sia "fileless", gli attaccanti potrebbero configurare metodi di persistenza utilizzando strumenti integrati di Windows come WMI o Scheduled Tasks per rieseguire il payload a ogni riavvio.
Come mitigare questo attacco ?
Bloccare le macro per impostazione predefinita su documenti scaricati da Internet.
Monitorare PowerShell e WMI tramite strumenti di Endpoint Detection and Response (EDR).
Utilizzare sistemi di filtraggio delle e-mail per bloccare allegati sospetti e link phishing.
Segmentare la rete per limitare il movimento laterale degli attaccanti.
Simulare attacchi interni per formare i dipendenti a riconoscere tentativi di phishing.
Comments