In una recente campagna di attacco informatico, funzionari del governo thailandese sono stati presi di mira attraverso una tecnica nota come DLL side-loading. Questa tecnica è stata utilizzata per distribuire un backdoor precedentemente non documentato, denominato Yokai. Secondo Nikhil Hegde, senior engineer del team Security Efficacy di Netskope, i bersagli principali degli attori delle minacce erano funzionari thailandesi, ma il backdoor Yokai può essere utilizzato contro qualsiasi potenziale bersaglio.

Il punto di partenza della catena di attacco è un archivio RAR contenente due file di collegamento di Windows, denominati in tailandese, che si traducono in "Dipartimento di Giustizia degli Stati Uniti.pdf" e "Il governo degli Stati Uniti richiede cooperazione internazionale in materia criminale.docx". Sebbene non sia noto il vettore iniziale esatto utilizzato per distribuire il payload, si sospetta che possa trattarsi di spear-phishing, poiché file RAR sono spesso utilizzati come allegati malevoli nelle email di phishing.

L'apertura di questi file di collegamento provoca l'apertura di un PDF fittizio e di un documento Microsoft Word, mentre in background viene installato un eseguibile malevolo. I file esca sono legati a Woravit Mektrakarn, un cittadino thailandese ricercato negli Stati Uniti in relazione alla scomparsa di un immigrato messicano. Mektrakarn è stato accusato di omicidio nel 2003 e si dice che sia fuggito in Thailandia.

L'eseguibile è progettato per installare altri tre file: un binario legittimo associato all'applicazione iTop Data Recovery (IdrInit.exe), una DLL malevola (ProductStatistics3.dll) e un file DATA contenente informazioni inviate da un server controllato dall'attaccante. Nella fase successiva, IdrInit.exe viene abusato per caricare la DLL, portando infine alla distribuzione del backdoor.

Yokai è responsabile dell'installazione della persistenza sull'host e della connessione al server di comando e controllo (C2) per ricevere codici di comando che gli consentono di avviare cmd.exe ed eseguire comandi della shell sull'host.

NodeLoader e altre minacce

Nel frattempo, Zscaler ThreatLabz ha scoperto una campagna di malware che utilizza eseguibili compilati con Node.js per Windows per distribuire miner di criptovalute e ladri di informazioni come XMRig, Lumma e Phemedrone Stealer. Queste applicazioni rogue sono state denominate NodeLoader. Gli attacchi utilizzano link malevoli incorporati nelle descrizioni dei video di YouTube, portando gli utenti a MediaFire o siti web fasulli che li esortano a scaricare un archivio ZIP mascherato da hack per videogiochi.

NodeLoader utilizza un modulo chiamato sudo-prompt, disponibile pubblicamente su GitHub e npm, per l'escalation dei privilegi. Gli attori delle minacce impiegano tecniche di ingegneria sociale e anti-evasione per distribuire NodeLoader senza essere rilevati.

Inoltre, si è verificato un aumento degli attacchi di phishing che distribuiscono il RAT Remcos, con attori delle minacce che aggiornano le catene di infezione utilizzando script Visual Basic Script (VBS) e documenti Office Open XML per avviare il processo multi-stadio.