Cyber Security UP

CABINETRAT: Nuovo malware su Signal minaccia l’Ucraina con file XLL infetti di Excel

Il Computer Emergency Response Team dell'Ucraina, noto come CERT-UA, ha recentemente lanciato un allarme su una nuova ondata di attacchi informatici mirati nel Paese che sfruttano una backdoor chiamata CABINETRAT. Questa attività malevola, monitorata come UAC-0245, è stata rilevata a settembre 2025 e si distingue per l’utilizzo di file XLL, ovvero componenti aggiuntivi di Microsoft Excel, generalmente impiegati per estendere le funzionalità del foglio di calcolo.

Distribuzione degli attacchi

Gli investigatori hanno scoperto che questi file XLL vengono distribuiti all’interno di archivi ZIP condivisi sulla piattaforma di messaggistica Signal. Il contenuto degli archivi è camuffato da documenti riguardanti la detenzione di persone che hanno tentato di attraversare il confine ucraino, una strategia di social engineering volta a indurre il destinatario ad aprire il file infetto.

Funzionamento del malware

Se attivato, il file XLL crea diversi eseguibili sulla macchina compromessa, tra cui un file EXE nella cartella di avvio, un XLL con il nome "BasicExcelMath.xll" nella directory XLSTART di Excel e un’immagine PNG chiamata "Office.png". Per garantire la persistenza del malware, vengono apportate modifiche al Registro di sistema di Windows. Successivamente, viene avviata l’applicazione Excel in modalità nascosta tramite il parametro "/embed", che permette l’esecuzione dell’add-in XLL malevolo. Il compito principale di questo XLL è quello di analizzare e estrarre shellcode dalla PNG, che viene poi identificato come CABINETRAT.

Tecniche di elusione

Per eludere l’analisi e l’individuazione, il payload XLL e il shellcode includono tecniche anti-VM e anti-analisi, tra cui il controllo della presenza di almeno due core della CPU, almeno 3GB di RAM e la verifica di ambienti virtuali come VMware, VirtualBox, Xen, QEMU, Parallels e Hyper-V.

Funzionalità di CABINETRAT

CABINETRAT, scritto in linguaggio C, possiede funzionalità di raccolta informazioni di sistema, elenco dei programmi installati, screenshot, enumerazione di cartelle, eliminazione di file specifici, esecuzione comandi e trasferimento di file. Il malware comunica con un server remoto tramite connessione TCP, facilitando così il furto di dati e il controllo remoto della macchina infetta.

Scenario e rischi

Questa minaccia si aggiunge a una serie di recenti attacchi contro l’Ucraina, tra cui campagne di phishing e malware come Amatera Stealer e PureMiner, che mirano a sottrarre dati sensibili e risorse dai dispositivi delle vittime. La diffusione di CABINETRAT tramite XLL su Signal dimostra come i cybercriminali sfruttino canali di comunicazione sicuri e tecniche sofisticate per eludere le difese tradizionali.

Penetration testing cyber , Malware Ucraina , Signal , CABINETRAT , XLL