Hijack Loader: Una Nuova Campagna Malevola Utilizza Certificati Legittimi

I ricercatori dell’azienda francese HarfangLab hanno scoperto una nuova campagna dannosa che distribuisce Hijack Loader utilizzando certificati di firma digitale legittimi. L’attività dannosa è stata rilevata all’inizio di ottobre e mirava all’installazione di un programma per il furto di dati chiamato Lumma.

Hijack Loader, noto anche come DOILoader e SHADOWLADDER, è diventato noto per la prima volta nel settembre 2023. Si diffonde attraverso il download di file falsi con il pretesto di software o film piratati. Le nuove versioni degli attacchi indirizzano gli utenti a pagine CAPTCHA false, dove viene loro richiesto di inserire ed eseguire un comando PowerShell dannoso che scarica un archivio infetto.

HarfangLab ha osservato tre varianti dello script dannoso di PowerShell dalla metà di settembre di quest’anno. Tra questi ci sono script che utilizzano “mshta.exe” e “msiexec.exe” per eseguire codice e scaricare dati dannosi da server remoti.

L’archivio scaricato dalle vittime contiene sia un file eseguibile legittimo che una DLL dannosa che carica Hijack Loader. Il file dannoso decodifica ed esegue dati crittografati destinati a scaricare e avviare un infostealer di secondo stadio.

Dall’ottobre 2024, gli aggressori hanno iniziato a utilizzare file binari firmati anziché DLL per evitare il rilevamento da parte dei programmi antivirus. Sebbene non sia chiaro se tutti i certificati siano stati rubati, gli esperti ritengono che alcuni di essi potrebbero essere stati generati da aggressori. Secondo quanto riferito, i certificati utilizzati per firmare il malware sono già stati revocati.

SonicWall ha recentemente segnalato anche un aumento degli attacchi mirati che permettono di infettare Windows, utilizzando però il malware CoreWarrior, un trojan che si diffonde rapidamente creando più copie di se stesso e creando backdoor per l’accesso remoto.

L’utilizzo di firme digitali legittime per diffondere malware dimostra che anche i metodi di sicurezza convenzionali possono diventare uno strumento efficace nelle mani degli aggressori. Ciò evidenzia l’importanza di migliorare continuamente la sicurezza informatica e di essere attenti a qualsiasi attività sospetta, anche se a prima vista sembra innocua.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Sandro Sana

Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Aree di competenza: Cyber Threat Intelligence, NIS2, Governance & Compliance della Sicurezza, CSIRT & Crisis Management, Ricerca, Divulgazione e Cultura Cyber

Visita il sito web dell'autore