Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Home
Un personaggio antropomorfo a forma di virus, con un sorriso malizioso e grandi occhi espressivi, cammina portando in spalla un enorme zaino colmo di file digitali in un ambiente cyberpunk neon. Il virus, di colore verde acqua con spuntoni rossi, indossa stivali scuri e ruba dati sensibili. Tra le cartelle colorate nello zaino spiccano etichette in italiano come "DATI_UTENTI.xlsx", "CREDENZIALI.txt" e "PROGETTO_TOP_SECRET.pptx". Sullo sfondo futuristico, schermi olografici rosa e viola mostrano scritte come "CARICAMENTO: DATI DEL MONDO 97%" e icone per password e informazioni personali, rappresentando visivamente un grave attacco informatico di esfiltrazione dati.

GoFlateLoader: Il malware da 950 MB che mette in crisi antivirus e sandbox

19 Giugno 2026 09:26
In sintesi

GoFlateLoader è un malware che distribuisce infostealer attraverso software compromesso e sistemi di reindirizzamento del traffico. Per proteggersi, è importante limitare l'installazione di software pirata e configurare le sandbox per analizzare file compressi

A volte il modo più semplice per nascondere un malware non è attraverso un camuffamento sofisticato, ma attraverso un peso aggiuntivo. Ed è proprio questo semplice trucco utilizzato da GoFlateLoader, un downloader in Golang per distribuire l’infostealer Lumma, Vidar, StealC, Amatera, Remus e altri malware.

GoFlateLoader in sé non è tecnicamente sofisticato, il codice non contiene alcuna protezione per il debug, controllo sulla macchina virtuale, offuscamento delle chiamate API o offuscamento logico complesso.

Il loader funziona in semplicemente, ovvero prende il componente dannoso codificato dalla sezione .rdata, lo decifra in più passaggi, ripristina l’eseguibile PE e lo esegue direttamente in memoria.

Advertising

Il trucco più interessante di GoFlateLoader, consiste in un enorme overlay PE, un blocco di dati aggiuntivo alla fine del file.

I campioni in genere raggiungono dimensioni comprese tra 700 e 950 MB, spesso con byte nulli, a volte con dati casuali. Questo file è altamente compresso in un archivio e questo ne facilita la distribuzione da parte degli aggressori. Infatti, gli strumenti di sicurezza e le sandbox automatiche potrebbero non scansionarlo a fondo a causa della sua stessa dimensione.

Gli specialisti di Gen Threat Labs collegano la diffusione di GoFlateLoader a pacchetti software compromessi e a un sistema di reindirizzamento del traffico dannoso, precedentemente studiato da Check Point Research.

Questo sistema reindirizza le vittime a pagine di archivio protette da password, rivelandole separatamente. Gli scanner sprovvisti di password non sempre riescono a estrarre e analizzare tutto il contenuto.

Una volta avviato, GoFlateLoader inserisce manualmente un file PE dannoso in memoria e trasferisce il controllo tramite syscall.Syscall, utilizzando gli argomenti fittizi 1, 2, 3 e 4. Questo schema appare insolito e può facilitare il rilevamento, soprattutto se combinato con altri indicatori: un ampio overlay, la memorizzazione del payload codificato in .rdata e la caratteristica sequenza di caricamento manuale del file PE.

Advertising

Da aprile 2026, Gen Threat Labs ha protetto, secondo i propri dati, oltre 33.000 utenti unici da GoFlateLoader. Il maggior numero di casi è stato riscontrato in Brasile, India, Argentina, Messico, Turchia e Spagna.

Per ridurre il rischio, gli esperti raccomandano di limitare rigorosamente l’installazione di software pirata, bloccare le pagine TDS notoriamente dannose e configurare le sandbox per analizzare file compressi di grandi dimensioni e archivi protetti da password, qualora quest’ultima sia specificata nella pagina di download.


📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su 🔔 Google News.
Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram.
Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici


Luigi Zullo 300x300
Ricercatore di sicurezza informatica con esperienza nell’analisi delle vulnerabilità, nella mitigazione del rischio cyber, nelle attività di red teaming ed ethical hacking e nella protezione di sistemi complessi. Specializzato in penetration testing e Threat Intelligence, contribuisce al rafforzamento della resilienza digitale di infrastrutture e reti aziendali.
Aree di competenza: Penetration Testing, Threat Intelligence, Red Teaming, Vulnerability Assessment, Incident Response