Malware ResolverRAT
I ricercatori di sicurezza informatica hanno identificato un sofisticato trojan di accesso remoto chiamato ResolverRAT, che viene utilizzato attivamente in attacchi mirati ai settori sanitario e farmaceutico. Questo malware di recente scoperta rappresenta un grave rischio a causa del suo comportamento furtivo e dei complessi meccanismi di infezione.
Sommario
Tattiche di phishing: la paura come arma
La campagna inizia con email di phishing che inducono alla paura, create per spingere i destinatari a cliccare urgentemente su un link dannoso. Queste esche spesso fanno riferimento a problemi legali o violazioni del copyright, progettate per creare panico e provocare una reazione affrettata. Una volta cliccato, il link porta al download di un file che avvia la catena di infezione di ResolverRAT.
Inganno specifico della regione
Un elemento distintivo di questa campagna è l'utilizzo di contenuti di phishing localizzati. Le email sono scritte nelle lingue native delle regioni prese di mira (hindi, italiano, ceco, turco, portoghese e indonesiano), evidenziando l'intento degli aggressori di aumentare il successo dell'infezione attraverso una personalizzazione specifica per ogni regione.
Meccaniche di infezione: una reazione a catena furtiva
ResolverRAT utilizza il caricamento laterale delle DLL per avviare la sua catena di infezione. La prima fase utilizza un caricatore in memoria per decifrare ed eseguire il payload primario, che viene crittografato, compresso e mai scritto su disco. Queste tecniche gli consentono di non essere rilevato dagli strumenti di sicurezza tradizionali.
Resilienza attraverso la ridondanza
Questo malware non si limita a essere stealth: è progettato per sopravvivere. ResolverRAT utilizza un processo di bootstrap a più fasi con meccanismi di persistenza ridondanti, integrandosi in diverse posizioni del file system e del Registro di sistema di Windows. Questo garantisce che, anche se una parte del malware viene rimossa, possa ristabilirsi.
Infrastruttura C2 avanzata: nascosta in bella vista
Una volta attivo, ResolverRAT avvia l'autenticazione basata su certificato per comunicare con il suo server di comando e controllo (C2), aggirando la convalida dell'autorità di root. Offre persino la rotazione degli IP per cambiare server C2 se uno viene disattivato, complicando ulteriormente le attività di rilevamento e rimozione.
Padronanza dell’evasione: invisibile ma presente
Per rimanere inosservato, ResolverRAT sfrutta il pinning dei certificati, l'offuscamento del codice sorgente e modelli di beaconing irregolari. Questi metodi non solo nascondono la propria presenza, ma eludono anche le tecniche di rilevamento standard utilizzate nei sistemi di sicurezza.
Esfiltrazione silenziosa dei dati
L'obiettivo principale del malware è ricevere comandi dal server C2 ed esfiltrare dati. Suddivide abilmente i file di dati di grandi dimensioni in blocchi da 16 KB, riducendo il rischio di rilevamento da parte degli strumenti di monitoraggio della rete.
L’attribuzione è ancora poco chiara, ma emergono dei modelli
Sebbene la campagna di attacco non sia stata ancora attribuita, le somiglianze nell'infrastruttura, nei temi e nelle tecniche – in particolare l'uso del sideload di DLL e di esche di phishing – suggeriscono un possibile collegamento con attacchi precedentemente documentati. Questa sovrapposizione potrebbe indicare una rete di affiliazione condivisa o un'attività coordinata da parte di un attore della minaccia.
Conclusione: una minaccia informatica persistente e sfuggente
ResolverRAT esemplifica la nuova generazione di malware: stealth, adattivo e resiliente. Il suo design riflette una comprensione approfondita delle moderne difese di sicurezza informatica, rendendolo una minaccia formidabile per i settori presi di mira e una preoccupazione di alta priorità per i difensori.
