Alcuni ricercatori di sicurezza informatica hanno scoperto un nuovo malware evasivo, che è stato battezzato come SquidLoader, che si diffonde attraverso campagne di phishing mirate a organizzazioni cinesi; quindi sebbene in altri casi siano stati criminali informatici cinesi i protagonisti di storie di hacking, con SquidLoader si ribalta la situazione.
Le analisi dei ricercatori di AT&T LevelBlue Labs riguardo SquidLoader
Il laboratorio AT&T LevelBlue Labs, che ha individuato per la prima volta il malware a fine aprile 2024, ha spiegato che SquidLoader incorpora funzionalità progettate per eludere sia le analisi statiche che quelle dinamiche, rendendo difficile la sua individuazione.
Gli attacchi utilizzano email di phishing con allegati che si presentano come documenti Microsoft Word, ma in realtà sono file eseguibili che permettono l’esecuzione del malware; questo, a sua volta, scarica da un server remoto altri codici dannosi, tra cui il noto Cobalt Strike.
“Questi loader sono dotati di meccanismi di evasione e inganno pesanti che li aiutano a rimanere non rilevati e complicano l’analisi“, ha dichiarato il ricercatore di sicurezza Fernando Dominguez. “Il codice dannoso viene caricato nello stesso processo del loader, probabilmente per evitare di scrivere il payload su disco e quindi rischiare di essere rilevati.“
Le tecniche di evasione adottate da SquidLoader includono l’uso di segmenti di codice criptati, codice inutile non utilizzato, offuscamento del Control Flow Graph (CFG), rilevamento di debugger e l’esecuzione diretta di syscall invece di chiamare le API di Windows NT.
L’aumento della popolarità dei malware loader
Tutto ciò non riguarda solo SquidLoader. I malware loader sono diventati una merce popolare nel mondo del crimine informatico, utilizzati da criminali informatici per consegnare e lanciare ulteriori payload su host compromessi, aggirando le difese antivirus e altre misure di sicurezza.
Cosa vuol dire questo? Che se il file pincopallo.exe non è riconosciuto come malware dall’antivirus, farà partire il file taldeitali.exe in modo esterno, agirando così l’antivirus.
Lo scorso anno, un incidente dettagliato da Aon’s Stroz Friedberg ha descritto un loader noto come Taurus Loader, osservato mentre distribuiva il ladro di informazioni Taurus e il trojan noto come AgentVX, capaci di eseguire altri malware, impostare persistenza modificando il Registro di Windows e raccogliere dati.
Questa scoperta arriva mentre una nuova analisi approfondita di un loader malware e backdoor chiamato PikaBot ha evidenziato che il suo sviluppo è ancora attivo da parte dei suoi creatori, dalla sua comparsa a febbraio 2023.
Le tecniche evasive di SquidLoader per non essere beccato dagli antivirus
“Il malware utilizza tecniche avanzate di anti-analisi per eludere la rilevazione e rendere difficile l’analisi, tra cui controlli di sistema, syscall indirette, crittografia delle fasi successive e delle stringhe, e risoluzione dinamica delle API“, ha dichiarato Sekoia. “Gli aggiornamenti recenti al malware hanno ulteriormente migliorato le sue capacità, rendendolo ancora più difficile da rilevare e mitigare.”
Queste scoperte seguono le indagini di BitSight, che ha rilevato che l’infrastruttura legata a un altro malware loader chiamato Latrodectus è stata messa offline a seguito di un’operazione di polizia denominata Operation Endgame; questa operazione ha smantellato oltre 100 server di botnet, inclusi quelli associati a IcedID, SystemBC, PikaBot, SmokeLoader, Bumblebee e TrickBot.
La compagnia di sicurezza informatica ha osservato quasi 5.000 vittime distinte in 10 diverse campagne, con la maggior parte delle vittime situate negli Stati Uniti, Regno Unito, Paesi Bassi, Polonia, Francia, Repubblica Ceca, Giappone, Australia, Germania e Canada.
Come mitigare SquidLoader e malware analoghi
Per proteggersi da SquidLoader e malware simili, è fondamentale adottare misure di sicurezza preventive. In primo luogo, le aziende dovrebbero implementare un solido programma di formazione sulla sicurezza per sensibilizzare i dipendenti sui rischi del phishing e insegnare loro a riconoscere email sospette; è inoltre essenziale mantenere aggiornati tutti i software e i sistemi operativi, poiché molte minacce informatiche sfruttano vulnerabilità note.
L’utilizzo di soluzioni di sicurezza avanzate, come software antivirus di ultima generazione (per utenti privati ad esempio Malwarebytes è ottimo), strumenti di rilevamento delle minacce basati su intelligenza artificiale e sistemi di monitoraggio della rete, può contribuire a identificare e bloccare comportamenti sospetti; le aziende dovrebbero anche implementare politiche di controllo degli accessi rigorose e utilizzare l’autenticazione a più fattori per proteggere gli account critici.
Infine, un’attenta gestione dei privilegi, garantendo che gli utenti abbiano solo i permessi necessari per svolgere le loro funzioni, può limitare i danni in caso di compromissione; monitorare costantemente l’attività di rete e condurre regolari audit di sicurezza può aiutare a rilevare e rispondere rapidamente a eventuali attacchi, minimizzando così l’impatto del malware.
