RenderShock: la nuova minaccia digitale che colpisce i sistemi Windows con un passaggio del mouse

Una nuova forma di attacco digitale chiamata RenderShock ha colpito i sistemi Windows aziendali Non richiede clic o l’apertura di allegati: tutto avviene completamente in background, tramite meccanismi di anteprima e indicizzazione affidabili integrati nel sistema operativo stesso. A differenza dei malware classici, RenderShock utilizza le cosiddette superfici di esecuzione passive, ovvero servizi che vengono eseguiti automaticamente ed elaborano i file senza l’intervento dell’utente. Tra questi collegamenti vulnerabili figurano i pannelli di anteprima di Explorer, gli scanner antivirus, i servizi di indicizzazione e gli strumenti di sincronizzazione cloud.

L’idea principale dell’attacco è quella di utilizzare processi di sistema affidabili per elaborare file palesemente dannosi. È sufficiente che un file di questo tipo finisca in una cartella disponibile per l’anteprima o l’indicizzazione, perché il meccanismo di infezione venga immediatamente attivato. Questo può accadere se il file finisce nella posta aziendale, su un’unità condivisa, in una cartella cloud o tramite un’unità flash. Anche il semplice passaggio del cursore sul file può portare a un tentativo di connessione a un server remoto.

RenderShock funziona secondo uno schema chiaramente strutturato in cinque fasi. Innanzitutto, viene creato un file dannoso, che può essere un documento, un’immagine, un collegamento. In seguito, gli aggressori inseriscono tali file in posizioni in cui i sistemi hanno la certezza di rilevarli. Successivamente, l’attivazione automatica avviene quando il file interagisce con uno dei componenti passivi del sistema. A questo punto inizia la raccolta di informazioni, ad esempio inviando richieste DNS o catturando hash NTLM per rubare le credenziali. La fase finale è l’esecuzione di codice remoto o l’ulteriore penetrazione nell’infrastruttura.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Il pericolo particolare di RenderShock è che l’attacco si maschera come un’attività standard dei processi di sistema. I processi explorer.exe, searchindexer.exe o l’anteprima dei documenti di Microsoft Office eseguono “azioni normali” e rimangono inosservati dalla maggior parte dei sistemi di sicurezza. La maggior parte degli antivirus aziendali non monitora l’attività di rete di tali processi, il che significa che non possono reagire in tempo.

Un esempio mostra come un file LNK infetto all’interno di un archivio ZIP possa forzare Windows Explorer a scaricare un’icona tramite SMB da un server remoto. Il sistema trasmette automaticamente i dati di autenticazione, anche se l’utente non ha aperto nulla. Tali azioni avvengono istantaneamente e in modo occulto.

Il nuovo schema RenderShock dimostra chiaramente come anche le operazioni di routine e apparentemente sicure stiano diventando vulnerabili negli ambienti aziendali odierni. Le organizzazioni che si affidano ad anteprime integrate e indicizzazione automatica dovrebbero riconsiderare le proprie pratiche di sicurezza.

Gli esperti raccomandano di disabilitare le anteprime dei file, limitare il traffico SMB in uscita, rafforzare le impostazioni di sicurezza di Office e monitorare le attività atipiche dei processi relativi alle anteprime. RenderShock mette in discussione i principi fondamentali della fiducia nei propri sistemi e richiede un approccio completamente nuovo all’igiene digitale nelle aziende.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.