Questi 3 caricatori sono stati responsabili dell'80% delle intrusioni quest'anno. • The Register

Aug 04, 2023

Tre caricatori di malware – QBot, SocGholish e Raspberry Robin – sono responsabili dell’80% degli attacchi osservati su computer e reti finora quest’anno.

Il negozio di sicurezza ReliaQuest ha riferito venerdì che i principali malware che dovrebbero essere rilevati e bloccati dalle difese IT sono QBot (noto anche come QakBot, QuackBot e Pinkslipbot), il caricatore più osservato tra il 1 gennaio e il 31 luglio, responsabile del 30% delle intrusioni tentativi registrati. SocGholish è arrivato secondo con il 27%, mentre Raspberry Robin ha ottenuto il 23%. Gli altri sette caricatori nella formazione sono molto indietro rispetto ai tre leader: Gootloader con il 3%, e Guloader, Chromeloader e Ursnif con il 2%.

Come suggerisce il nome, i caricatori sono una fase intermedia di un'infezione da malware. Il caricatore viene eseguito sul computer di una vittima, ad esempio, da un malintenzionato che sfrutta qualche vulnerabilità o semplicemente invia un messaggio di posta elettronica con un allegato dannoso da aprire. Quando il caricatore è in esecuzione, di solito si assicura il suo punto d'appoggio nel sistema, adottando misure per mantenere la persistenza e recupera il payload principale del malware da eseguire, che potrebbe essere un ransomware, una backdoor o qualcosa del genere.

Ciò offre agli equipaggi una certa flessibilità post-intrusione e aiuta anche a nascondere l'eventuale software dannoso distribuito su una macchina. Essere in grado di individuare e arrestare un caricatore potrebbe impedire il verificarsi di una significativa infezione malware all'interno della tua organizzazione.

Questi caricatori, tuttavia, provocano emicranie ai team di sicurezza, perché, come sottolineato da ReliaQuest, "la mitigazione per un caricatore potrebbe non funzionare per un altro, anche se carica lo stesso malware".

Secondo l'analisi, QBot, che ReliaQuest descrive come "quello agile", è il trojan bancario di 16 anni che da allora si è evoluto per fornire ransomware, rubare dati sensibili, consentire il movimento laterale attraverso gli ambienti delle organizzazioni e distribuire codice remoto software di esecuzione.

A giugno, il gruppo di intelligence sulle minacce Black Lotus Labs di Lumen ha scoperto il caricatore utilizzando nuovi metodi di distribuzione del malware e un'infrastruttura di comando e controllo, con un quarto di quelli utilizzati attivi solo per un giorno. Secondo i ricercatori di sicurezza, questa evoluzione è stata probabilmente in risposta alla mossa di Microsoft dello scorso anno di bloccare per impostazione predefinita le macro provenienti da Internet per gli utenti di Office.

"L'agilità di QakBot è stata evidente nella risposta dei suoi operatori al Mark of the Web (MOTW) di Microsoft: hanno cambiato tattica di consegna, optando per l'uso del contrabbando di HTML", ha affermato ReliaQuest. "In altri casi, gli operatori QakBot hanno sperimentato tipi di file per i loro carichi utili, per eludere le misure di mitigazione."

Ciò include l’utilizzo di file OneNote dannosi nelle loro e-mail di phishing, come nel caso di una campagna del febbraio 2023 rivolta alle organizzazioni statunitensi.

Il caricatore numero due, SocGholish, è un pezzo di codice basato su JavaScript destinato a Windows. È stato collegato alla Evil Corp russa e al broker di accesso iniziale Exotic Lily, che irrompe nelle reti aziendali e poi vende l'accesso ad altri criminali.

SocGholish viene generalmente distribuito tramite compromissioni drive-by e campagne di ingegneria sociale, spacciandosi per un aggiornamento falso che, una volta scaricato, rilascia il codice dannoso sul dispositivo della vittima. Ad un certo punto, Exotic Lily inviava più di 5.000 email al giorno a circa 650 organizzazioni globali prese di mira, secondo il Threat Analysis Group di Google.

Lo scorso autunno, un gruppo criminale identificato come TA569 ha compromesso più di 250 siti web di giornali statunitensi e ha poi utilizzato tale accesso per fornire malware SocGholish ai lettori delle pubblicazioni tramite annunci e video dannosi basati su JavaScript.

Più recentemente, nella prima metà del 2023, ReliaQuest ha rintracciato gli operatori SocGholish che eseguivano "attacchi aggressivi ai wateringhole".

"Hanno compromesso e infettato i siti web di grandi organizzazioni impegnate in operazioni commerciali comuni con potenziale redditizio", hanno detto i ricercatori della minaccia. "I visitatori ignari hanno inevitabilmente scaricato il payload SocGholish, provocando infezioni diffuse."

A completare i primi tre c'è Raspberry Robin, che prende di mira anche i sistemi Windows e si è evoluto da un worm che si diffonde tramite unità USB.