Preventivo sconto multi-licenza
Database delle minacce Malware Malware TransferLoader

Malware TransferLoader

Entro Mezo nel Malware, Minaccia persistente avanzata (APT)
Traduci in:

I ricercatori di sicurezza stanno tracciando collegamenti tra i famigerati autori del RomCom RAT e un malware loader chiamato TransferLoader. Questa campagna, che ha preso di mira entità con attacchi di spionaggio e ransomware, evidenzia tecniche sofisticate e infrastrutture sovrapposte che richiedono un attento esame.

Due cluster di attori della minaccia: TA829 e UNK_GreenSec

I ricercatori di sicurezza informatica hanno attribuito l'attività correlata a TransferLoader a due principali gruppi di attori della minaccia:

  • TA829, tracciato anche con alias quali RomCom RAT, CIGAR, Nebulous Mantis, Storm-0978, Tropical Scorpius, UAC-0180, UAT-5647, UNC2596 e Void Rabisu.
  • UNK_GreenSec, un cluster meno noto che opera parallelamente con tattiche simili.

TA829 è particolarmente noto per le sue operazioni ibride, che combinano spionaggio e attacchi a scopo finanziario. Questo gruppo filo-russo ha già sfruttato vulnerabilità zero-day in Mozilla Firefox e Microsoft Windows per implementare RomCom RAT, prendendo di mira organizzazioni globali di alto valore.

TransferLoader: Emersione e ruolo nelle campagne malware

TransferLoader è stato identificato per la prima volta nel febbraio 2025 durante una campagna che coinvolgeva il ransomware Morpheus, una versione rinominata del ransomware HellCat. Il malware è stato utilizzato contro uno studio legale statunitense di cui non è stato reso noto il nome. A differenza di RomCom, TransferLoader funge principalmente da meccanismo di distribuzione stealth, consentendo l'implementazione di payload dannosi aggiuntivi come Metasploit e Morpheus.

La missione di TransferLoader è semplice: non farsi rilevare e diffondere altro malware.

Sfruttamento dell'infrastruttura proxy REM

Sia TA829 che UNK_GreenSec si basano sui servizi proxy REM, spesso ospitati su router MikroTik compromessi. Questi proxy vengono utilizzati per instradare il traffico dannoso, mascherandone la vera origine. I gruppi utilizzano questa infrastruttura per:

  • Inviare e-mail di phishing tramite servizi di posta gratuiti (ad esempio Gmail, ukr.net)
  • Inoltra il traffico per nascondere l'attività upstream
  • Avvia campagne utilizzando sia account email appena creati che compromessi

I ricercatori sospettano l'uso di strumenti di creazione di e-mail che generano in massa indirizzi mittente come ximajazehox333@gmail.com e hannahsilva1978@ukr.net per la distribuzione di phishing.

Meccanismi di phishing e consegna del payload

I messaggi di phishing inviati da entrambi i cluster contengono spesso link incorporati nel corpo dell'email o negli allegati PDF. Le vittime che cliccano su questi link vengono reindirizzate a una serie di reindirizzamenti tramite Rebrandly, che le conducono infine a pagine contraffatte di Google Drive o Microsoft OneDrive. Questi reindirizzamenti includono meccanismi per:

  • Bypassare gli ambienti sandbox
  • Filtra i sistemi non di interesse
  • Fornire diversi carichi utili finali a seconda del gruppo di minaccia

Percorsi di attacco divergenti :

  • UNK_GreenSec utilizza questo percorso per distribuire TransferLoader
  • TA829 reindirizza gli obiettivi al malware SlipScreen

Strumenti e infrastrutture condivisi

Entrambi i gruppi di attori dimostrano una sovrapposizione di strumenti e scelte infrastrutturali:

  • Utilizzo dell'utilità PLINK di PuTTY per stabilire tunnel SSH
  • Hosting di utilità dannose sui servizi IPFS (InterPlanetary File System)
  • Utilizzo di endpoint di reindirizzamento dinamici basati su PHP per il filtraggio del traffico

Questi metodi condivisi suggeriscono un possibile coordinamento o l'adozione reciproca di tattiche efficaci.

Temi e tattiche di distribuzione dell'ingegneria sociale

Le campagne che coinvolgono TransferLoader spesso si mascherano da email di offerte di lavoro, attirando le vittime con link che pretendono di indirizzare a curriculum in formato PDF. In realtà, il link attiva il download di TransferLoader ospitato su webshare IPFS.

Caratteristiche tecniche principali delle operazioni di TransferLoader

Elude il rilevamento: utilizza il reindirizzamento, il filtraggio e l'hosting decentralizzato per aggirare le difese tradizionali.

Payload Delivery: funge da caricatore per malware più pericolosi, tra cui ransomware e strumenti di accesso remoto.

Tecniche differenziate: utilizzano strutture di reindirizzamento uniche (endpoint da JavaScript a PHP) per supportare la distribuzione di contenuti dinamici.

Conclusione: comprendere la minaccia TransferLoader

TransferLoader rappresenta una minaccia significativa in quanto loader stealth in grado di abilitare attacchi ad alto impatto. Il suo utilizzo da parte di UNK_GreenSec e TA829 dimostra come i gruppi di criminali informatici continuino a innovare, condividere strumenti e sfruttare infrastrutture decentralizzate per eludere il rilevamento e raggiungere i propri obiettivi.

Gli indicatori della minaccia TransferLoader includono:

  • Utilizzo dei servizi REM Proxy
  • Esche via e-mail che fanno riferimento a domande di lavoro o curriculum
  • Catene di reindirizzamento che coinvolgono link Rebrandly
  • Payload ospitati su piattaforme basate su IPFS

Le organizzazioni devono rimanere vigili, implementare efficaci filtri per la posta elettronica e il web e monitorare costantemente eventuali comportamenti anomali della rete riconducibili a queste tattiche.

Tendenza

I più visti

Caricamento in corso...