RenderShock: la nuova minaccia digitale che colpisce i sistemi Windows con un passaggio del mouse

Una nuova forma di attacco digitale chiamata RenderShock ha colpito i sistemi Windows aziendali Non richiede clic o l’apertura di allegati: tutto avviene completamente in background, tramite meccanismi di anteprima e indicizzazione affidabili integrati nel sistema operativo stesso. A differenza dei malware classici, RenderShock utilizza le cosiddette superfici di esecuzione passive, ovvero servizi che vengono eseguiti automaticamente ed elaborano i file senza l’intervento dell’utente. Tra questi collegamenti vulnerabili figurano i pannelli di anteprima di Explorer, gli scanner antivirus, i servizi di indicizzazione e gli strumenti di sincronizzazione cloud.

L’idea principale dell’attacco è quella di utilizzare processi di sistema affidabili per elaborare file palesemente dannosi. È sufficiente che un file di questo tipo finisca in una cartella disponibile per l’anteprima o l’indicizzazione, perché il meccanismo di infezione venga immediatamente attivato. Questo può accadere se il file finisce nella posta aziendale, su un’unità condivisa, in una cartella cloud o tramite un’unità flash. Anche il semplice passaggio del cursore sul file può portare a un tentativo di connessione a un server remoto.

RenderShock funziona secondo uno schema chiaramente strutturato in cinque fasi. Innanzitutto, viene creato un file dannoso, che può essere un documento, un’immagine, un collegamento. In seguito, gli aggressori inseriscono tali file in posizioni in cui i sistemi hanno la certezza di rilevarli. Successivamente, l’attivazione automatica avviene quando il file interagisce con uno dei componenti passivi del sistema. A questo punto inizia la raccolta di informazioni, ad esempio inviando richieste DNS o catturando hash NTLM per rubare le credenziali. La fase finale è l’esecuzione di codice remoto o l’ulteriore penetrazione nell’infrastruttura.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Il pericolo particolare di RenderShock è che l’attacco si maschera come un’attività standard dei processi di sistema. I processi explorer.exe, searchindexer.exe o l’anteprima dei documenti di Microsoft Office eseguono “azioni normali” e rimangono inosservati dalla maggior parte dei sistemi di sicurezza. La maggior parte degli antivirus aziendali non monitora l’attività di rete di tali processi, il che significa che non possono reagire in tempo.

Un esempio mostra come un file LNK infetto all’interno di un archivio ZIP possa forzare Windows Explorer a scaricare un’icona tramite SMB da un server remoto. Il sistema trasmette automaticamente i dati di autenticazione, anche se l’utente non ha aperto nulla. Tali azioni avvengono istantaneamente e in modo occulto.

Il nuovo schema RenderShock dimostra chiaramente come anche le operazioni di routine e apparentemente sicure stiano diventando vulnerabili negli ambienti aziendali odierni. Le organizzazioni che si affidano ad anteprime integrate e indicizzazione automatica dovrebbero riconsiderare le proprie pratiche di sicurezza.

Gli esperti raccomandano di disabilitare le anteprime dei file, limitare il traffico SMB in uscita, rafforzare le impostazioni di sicurezza di Office e monitorare le attività atipiche dei processi relativi alle anteprime. RenderShock mette in discussione i principi fondamentali della fiducia nei propri sistemi e richiede un approccio completamente nuovo all’igiene digitale nelle aziende.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi esclusivi provenienti da contesti operativi nazionali e internazionali.