Cosa sono le Mock Folder in Windows e perché vengono utilizzate dai malware

I malware RAT (Remote Access Trojan) sono programmi dannosi progettati per consentire a un aggressore remoto di accedere e controllare un sistema informatico a distanza, senza il consenso o la conoscenza della vittima.
Queste minacce possono essere utilizzate per una vasta gamma di attività dannose, tra cui il furto di dati, l’installazione di altri malware sul sistema compromesso, la registrazione delle attività dell’utente e il monitoraggio dei sistemi altrui, anche ai fini di spionaggio industriale.

Nelle ultime settimane sono state rilevate nuove campagne phishing che cercano di trarre in inganno professionisti e utenti aziendali con il preciso intento di sottrarre dati riservati e monitorare le attività di altre aziende.
Ne dà notizia SentinelOne che certifica l’ascesa di RAT quali DBatLoader e Remcos.

L’aspetto particolarmente rilevante nel caso dei malware in questione deriva dal fatto che entrambi utilizzano le Mock Folder, un meccanismo noto almeno dal 2018 che permette di eludere la protezione esercitata da una delle misure di sicurezza più note di Windows: UAC.

User Account Control (UAC) è una funzione di sicurezza di Windows che aiuta a prevenire l’esecuzione di attività potenzialmente pericolose o non autorizzate sul sistema operativo. Introdotta con Windows Vista, seppur in una veste diversa rispetto a quella utilizzata già a partire da Windows 7, continua a essere utilizzata anche in versioni più recenti come Windows 10 e Windows 11.
Quando un utente o un’applicazione provano a eseguire attività che richiedono autorizzazioni elevate, UAC interviene e chiede di confermare l’azione per motivi di sicurezza.

La comparsa di UAC è ovviamente un’ancora di salvezza che in alcuni casi permette di evitare comportamenti rischiosi: essa mette infatti in evidenza la richiesta di privilegi elevati da parte dell’applicazione che si sta cercando di usare.

Quando un aggressore può evitare la comparsa di UAC sul sistema della vittima e quindi scavalcare questa linea di difesa, il codice malevolo può immediatamente andare in esecuzione sulla macchina al doppio clic.

Alcune cartelle, come \Windows\System32, sono considerate attendibili da Windows tanto che il sistema operativo permette agli eseguibili ivi memorizzati di elevare i privilegi senza visualizzare alcuna richiesta UAC.

Le mock folder (il termine inglese “mock” si può tradurre in italiano come “beffa”) sono directory fittizie (in un altro articolo parliamo delle differenze tra directory e cartelle) la cui denominazione somiglia a quella di altre.
Ad esempio, C:\Windows \System32 è un percorso che imita da vicino quello che tutti conosciamo ma che contiene uno spazio dopo il nome “Windows”.

Il problema è che alcune componenti di sistema di Windows, come Esplora file, trattano i percorsi “C:\Windows ” e “C:\Windows” (con e senza lo spazio finale) come se fossero la stessa cartella. In questo modo il sistema operativo è indotto a ritenere che i due percorsi, di fatto differenti a livello di file system, corrispondano alla medesima cartella.

I RAT citati in apertura usano la cartella C:\Windows \System32 (con lo spazio finale) proprio per consentire agli script e agli altri componenti software di elevare i privilegi automaticamente senza la comparsa di alcun avviso UAC. Una mossa furba che affonda le radici nei metodi di bypass di UAC che purtroppo ancora oggi esistono.