Nel mondo della cybersecurity, la scoperta di nuove campagne malware è un evento che cattura sempre l'attenzione. Recentemente, i ricercatori hanno svelato un'operazione di malware che utilizza certificati di firma del codice rubati per distribuire un loader chiamato Hijack Loader. Questo malware, noto anche come DOILoader o SHADOWLADDER, è stato rilevato per la prima volta nel settembre 2023 e viene spesso veicolato attraverso file binari camuffati da software o film piratati.

Attività di HarfangLab

La società francese di cybersecurity HarfangLab ha individuato questa attività e ha evidenziato che le catene di attacco mirano a distribuire un information stealer chiamato Lumma. Le varianti più recenti di queste campagne inducono gli utenti a visitare pagine CAPTCHA fasulle, invitandoli a eseguire comandi PowerShell codificati che scaricano il payload malevolo sotto forma di archivio ZIP. All'interno dell'archivio si trova un eseguibile genuino vulnerabile al side-loading di DLL e una DLL malevola, ossia il Hijack Loader, destinato a essere caricato al suo posto.

Evoluzione delle Tecniche di Distribuzione

La tecnica di distribuzione si è evoluta nel tempo, passando dal side-loading di DLL all'uso di diversi binari firmati per eludere i software di sicurezza. Sebbene non sia chiaro se tutti i certificati di firma del codice siano stati rubati o generati intenzionalmente dagli attori delle minacce, è stato confermato che essi sono stati revocati. La ricerca sottolinea che la sola firma del codice non può essere considerata un indicatore di affidabilità. Infatti, l'ottenimento di un certificato di firma del codice è spesso automatizzato, richiedendo solo un numero di registrazione aziendale valido e un contatto di riferimento.

Aumento degli Attacchi Informatici

Parallelamente, SonicWall Capture Labs ha segnalato un aumento degli attacchi informatici con un malware chiamato CoreWarrior, un trojan persistente che tenta di diffondersi rapidamente creando copie di sé stesso e monitorando gli elementi dell'interfaccia utente di Windows. Inoltre, sono state osservate campagne di phishing che utilizzano un malware stealer e loader noto come XWorm. Questo viene distribuito tramite un file di script di Windows (WSF) che scarica ed esegue un altro script PowerShell ospitato su paste[.]ee.

Nuova Versione di XWorm

La nuova versione di XWorm, la 5.6, è dotata di funzionalità avanzate come la raccolta di screenshot, la modifica del file host della vittima e l'esecuzione di attacchi DoS. Ciò dimostra l'intento degli attaccanti di evitare di lasciare tracce forensi. XWorm rappresenta uno strumento multifunzionale che offre una vasta gamma di possibilità agli attaccanti, rendendolo una minaccia significativa nel panorama attuale della sicurezza informatica.