Quando un assistente di Windows diventa il nascondiglio
Un binario Microsoft legittimo, una DLL sideloaded e un RAT residente in memoria mostrano come gli attaccanti possano trasformare il normale comportamento di caricamento in un percorso di distribuzione furtivo.
I difensori di Windows sono addestrati a cercare file sospetti, ma questo caso ricorda che la mossa più pericolosa è spesso quella che sembra ordinaria. Una campagna legata all'etichetta Dropping Elephant ha utilizzato Fondue.exe, un binario Microsoft legittimo, come parte di una catena di DLL side-loading che ha portato a un Remote Access Trojan in memoria. Questa combinazione conta perché mescola esecuzione fidata, abuso del loader e malware con pochi file in un unico percorso compatto.
Fatti rapidi
- Fondue.exe è una legittima utility di Microsoft Windows, non uno strumento malware progettato appositamente.
- Il DLL side-loading funziona quando un'applicazione carica una DLL per nome e Windows cerca prima nelle posizioni vicine.
- Il payload finale in questa catena è stato descritto come un Remote Access Trojan eseguito interamente in memoria.
- L'esecuzione solo in memoria può ridurre gli artefatti su disco e spostare il rilevamento verso la telemetria dei processi e del comportamento.
- L'attività è stata attribuita nelle informazioni disponibili a Dropping Elephant, un'etichetta monitorata nel più ampio ecosistema delle minacce.
Come funziona l'abuso
Il trucco principale non è un prodotto Microsoft difettoso. È un abuso della fiducia. Fondue.exe è pensato per aiutare ad abilitare le funzionalità opzionali di Windows, ma se un programma carica una DLL senza un percorso completo, Windows può cercare in più directory prima di trovare il file desiderato. Quel comportamento crea l'opportunità che una DLL malevola collocata accanto venga caricata al posto di una legittima.
Dal punto di vista difensivo, è per questo che il side-loading resta attraente: l'eseguibile può sembrare normale, mentre la logica malevola si nasconde in una libreria compagna. In casi simili, i difensori spesso devono esaminare gli eventi di caricamento delle immagini, le catene di processi padre-figlio e i percorsi di esecuzione insoliti invece di affidarsi alla semplice reputazione del file.
La seconda fase alza ulteriormente l'asticella. Un payload che viene eseguito interamente in memoria lascia meno artefatti forensi classici rispetto a uno scritto su disco. Questo non lo rende invisibile, ma spinge i difensori verso attività di hunting consapevoli della memoria, telemetria di script e processi, e controlli che monitorano manomissioni dei framework di ispezione come AMSI, ETW o protezioni Windows correlate quando presenti nell'ambiente.
Le informazioni disponibili supportano un'analisi del rischio, non un'affermazione definitiva su ogni sistema interessato, sul numero di vittime o sulla compromissione a valle. Al momento della pubblicazione, le informazioni pubbliche non hanno ancora stabilito pienamente l'intera portata della campagna né se tutti gli effetti rivendicati siano stati osservati nello stesso modo in tutti gli ambienti.
Perché questo schema continua a funzionare
Gli attori delle minacce non hanno bisogno di sconfiggere Windows con un unico colpo spettacolare. Possono concatenare elementi ordinari: un binario fidato, una directory scrivibile, un percorso di ricerca DLL e un implant caricato in memoria. Basta questo per far fondere il percorso di esecuzione con l'attività legittima, soprattutto dove le regole endpoint si concentrano su nomi di file noti come malevoli invece che su comportamenti di caricamento sospetti.
La lezione è pratica: ridurre l'ambiguità nella ricerca delle DLL, limitare l'accesso in scrittura attorno ai binari fidati e monitorare processi padre insoliti o utility ausiliarie avviate da posizioni anomale. Nelle intrusioni Windows moderne, il confine di fiducia spesso non è l'eseguibile firmato in sé. È tutto ciò che gli sta accanto.
Conclusione
Questo caso è un esempio netto di come gli attaccanti trasformino la convenienza della piattaforma in furtività. Il vero pericolo non è che esistano gli assistenti di Windows, ma che possano essere collocati nel contesto sbagliato e fatti servire a uno scopo sbagliato. Per i difensori, la mossa vincente è trattare il comportamento del loader come un segnale di sicurezza, non solo come un dettaglio tecnico.
WIKICROOK
- DLL side-loading: Una tecnica in cui un programma fidato carica una libreria malevola perché Windows cerca le DLL in posizioni prevedibili.
- Fondue.exe: Una legittima utility di Microsoft Windows usata per abilitare funzionalità opzionali, che può essere abusata come host del loader.
- Remote Access Trojan (RAT): Malware che consente a un operatore di controllare da remoto un sistema compromesso.
- In-memory malware: Codice malevolo che viene eseguito nella RAM invece di essere salvato come normale file su disco.
- AMSI: Un'interfaccia di scansione di Windows che aiuta gli strumenti di sicurezza a ispezionare script e codice in fase di esecuzione.




