Preventivo sconto multi-licenza
Database delle minacce Malware Variante JavaScript di PicassoLoader

Variante JavaScript di PicassoLoader

Entro Mezo nel Malware, Minaccia persistente avanzata (APT)
Traduci in:

Il gruppo di hacker noto come Ghostwriter è stato collegato a una nuova ondata di attacchi informatici contro organizzazioni governative in Ucraina. Attivo almeno dal 2016, il gruppo si è guadagnato la reputazione di condurre campagne di spionaggio informatico e di influenza in tutta l'Europa orientale, con una forte attenzione operativa all'Ucraina e ai paesi limitrofi.

L'autore della minaccia è anche noto con diversi pseudonimi, tra cui FrostyNeighbor, PUSHCHA, Storm-0257, TA445, UAC-0057, Umbral Bison, UNC1151 e White Lynx. Nel corso degli anni, il gruppo ha continuamente perfezionato la propria infrastruttura, le catene di attacco e i metodi di elusione nel tentativo di aggirare i controlli di sicurezza e mantenere un'efficacia operativa a lungo termine.

Un arsenale di malware in continua evoluzione

Ghostwriter ha costantemente modernizzato il suo ecosistema di malware e le sue tecniche di distribuzione. Le campagne precedenti si basavano in gran parte sulla famiglia di malware PicassoLoader, che fungeva da meccanismo di distribuzione per payload aggiuntivi come Cobalt Strike Beacon e njRAT.

Alla fine del 2023, il gruppo ha ampliato le proprie capacità sfruttando la vulnerabilità di WinRAR CVE-2023-38831 per distribuire PicassoLoader e Cobalt Strike. L'anno successivo, le organizzazioni polacche sono diventate bersaglio di una campagna di phishing che ha abusato di una falla di cross-site scripting in Roundcube identificata come CVE-2024-42009. L'attività malevola ha permesso agli aggressori di eseguire codice JavaScript in grado di carpire le credenziali di posta elettronica delle vittime.

Gli account compromessi sono stati successivamente utilizzati per ispezionare il contenuto delle caselle di posta elettronica, rubare elenchi di contatti e distribuire ulteriori messaggi di phishing nel giugno 2025. Entro la fine del 2025, il gruppo aveva anche integrato nelle proprie operazioni tecniche avanzate di anti-analisi. Alcuni documenti esca hanno iniziato a utilizzare la verifica CAPTCHA dinamica per attivare selettivamente la catena di infezione dannosa e ostacolare gli ambienti di analisi automatizzati.

Sofisticate campagne di spear-phishing prendono di mira l'Ucraina.

A partire da marzo 2026, i ricercatori hanno osservato una nuova campagna diretta contro le istituzioni governative ucraine tramite email di spear-phishing contenenti allegati PDF dannosi. I documenti esca imitano il fornitore di telecomunicazioni ucraino Ukrtelecom nel tentativo di apparire legittimi e aumentare il coinvolgimento delle vittime.

La catena di attacco si basa su link incorporati nei file PDF che reindirizzano le vittime a un archivio RAR dannoso contenente un payload basato su JavaScript. Una volta eseguito, il malware visualizza un documento di copertura per preservare l'illusione di legittimità, avviando silenziosamente in background una variante JavaScript di PicassoLoader. Il loader distribuisce successivamente Cobalt Strike Beacon sui sistemi compromessi.

Il geofencing e la convalida della vittima migliorano la furtività

Uno degli aspetti più rilevanti dell'ultima campagna è l'implementazione del geofencing e di meccanismi di validazione delle vittime a più livelli. I sistemi che si connettono da indirizzi IP al di fuori dell'Ucraina ricevono contenuti PDF innocui anziché il payload dannoso, riducendo significativamente l'esposizione a ricercatori e sistemi di scansione automatizzati.

Il malware esegue anche un'accurata identificazione univoca degli host compromessi prima di rilasciare ulteriori payload. Le informazioni di sistema raccolte vengono trasmesse all'infrastruttura controllata dall'attaccante ogni dieci minuti, consentendo agli operatori di determinare manualmente se una vittima merita un ulteriore sfruttamento. Solo dopo il completamento di questo processo di validazione, l'infrastruttura rilascia un dropper JavaScript di terzo livello responsabile dell'installazione di Cobalt Strike Beacon.

L'operazione combina metodi di filtraggio automatizzati, tra cui la verifica basata su user-agent e IP, con la revisione manuale da parte di un operatore, evidenziando una metodologia di attacco altamente disciplinata e matura.

La strategia di targeting regionale si espande in tutta l'Europa orientale.

L'attività attuale sembra concentrarsi principalmente su entità militari, di difesa e governative in Ucraina. Tuttavia, le operazioni attribuite a Ghostwriter in Polonia e Lituania dimostrano una strategia di targeting più ampia che si estende a molteplici settori critici:

  • Organizzazioni industriali e manifatturiere
  • Istituzioni sanitarie e farmaceutiche
  • Fornitori di servizi logistici
  • agenzie governative

La continua evoluzione degli strumenti, dei meccanismi di distribuzione e delle pratiche di sicurezza operativa di Ghostwriter sottolinea la tenacia e la capacità di adattamento del gruppo. La sua abilità nel combinare documenti esca personalizzati, distribuzione selettiva del payload, tecniche anti-analisi e validazione manuale delle vittime dimostra una sofisticata capacità di spionaggio informatico progettata per eludere il rilevamento massimizzando al contempo l'impatto operativo.

Tendenza

I più visti

Caricamento in corso...