SnatchLoader

SnatchLoader Descrizione

SnatchLoader è noto come malware downloader: è responsabile della fornitura di ulteriori minacce malware su una macchina che è già riuscito a compromettere. Lo sviluppo di SnatchLoader ha visto un periodo di scarsa attività, ma la minaccia è stata osservata come parte di campagne di attacco attive come la consegna del trojan bancario Ramnit. Sebbene non sia unico, una caratteristica curiosa di questo malware downloader è che è dotato di "blocco geografico". In pratica, questo si traduce nell'esecuzione del malware in alcuni paesi mentre, in altri, si interrompe semplicemente da solo. I ricercatori che hanno analizzato un campione di SnatchLoader hanno stabilito che il Regno Unito e l'Italia erano tra gli obiettivi praticabili mentre gli utenti in Francia, Stati Uniti e Hong Kong erano al sicuro.

Per eseguire chiamate API di Windows, SnatchLoader utilizza un hashing del nome di funzione in fase di esecuzione. Per quanto riguarda la gestione della comunicazione con la sua infrastruttura Command-and-Control (C2, C&C), utilizza HTTPS. Quattro diversi tipi di richieste sono stati isolati dai ricercatori di infosec.

Per prima cosa, SnatchLoader effettua una richiesta "get dynamic config", seguita da una richiesta "send system information". In questa fase, il malware invia vari dati di sistema al server degli hacker. Tra i dati esfiltrati ci sono dettagli come versioni di Windows, architettura, nome utente, nome del computer, agente utente, elenco di processi, ecc.
Per verificare la presenza di eventuali comandi degli hacker, SnatchLoader effettua una richiesta di "polling dei comandi". A causa della sua natura di caricatore, i comandi servono principalmente a vari modi per scaricare ed eseguire moduli malware aggiuntivi: eseguiti normalmente, iniettati in explorer.exe o eseguiti tramite rundll32. I ricercatori hanno anche osservato una funzionalità di plug-in di SnatchLoader per una minaccia di crypto mining di Monero. L'ultima richiesta al C2 viene utilizzata per inviare i risultati dell'esecuzione di un comando specifico.

Lascia un commento

NON utilizzare questo sistema di commenti per domande di supporto o fatturazione. Per richieste di supporto tecnico SpyHunter, si prega di contattare direttamente il nostro team di supporto tecnico aprendo un ticket di supporto clienti tramite SpyHunter. Per problemi di fatturazione, fai riferimento alla nostra pagina "Domande o problemi di fatturazione?". Per domande generali (reclami, legali, stampa, marketing, copyright), visita la nostra pagina "Richieste di informazioni e feedback".