Nuova Minaccia Malware: Unfurling Hemlock Distribuisce Migliaia di File Dannosi in Pochi Secondi!

La società di sicurezza Outpost24 ha rilevato l’attività di un nuovo gruppo chiamato Unfurling Hemlock, che infetta i sistemi target con più malware e distribuisce centinaia di migliaia di file dannosi.

I ricercatori descrivono questo metodo di infezione come una “bomba a grappolo di malware”, che consente agli aggressori di utilizzare solo un pezzo di malware, che poi infetta ulteriormente il computer della vittima.

Secondo la società, l’attività di Unfurling Hemlock è iniziata nel febbraio 2023 e i ricercatori hanno scoperto più di 50.000 file contenenti tali “bombe a grappolo”.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Va notato che più della metà di tutti gli attacchi Unfurling Hemlock erano mirati a sistemi negli Stati Uniti, ma un’attività relativamente elevata è stata osservata anche in Germania, Russia, Turchia, India e Canada.

Gli attacchi iniziano con l’esecuzione del file WEXTRACT.EXE, che raggiunge i dispositivi di destinazione tramite e-mail dannose o tramite downloader di malware a cui Unfurling Hemlock ha accesso (si presuppone che gli hacker collaborino con i loro operatori).

Il file eseguibile dannoso contiene file CAB nidificati, in ogni livello dei quali vengono archiviati un campione di malware e un altro file compresso. Ad ogni fase, una sorta di malware viene installato sul computer della vittima e, nella fase finale, tutti i file estratti vengono eseguiti in ordine inverso (ovvero, l’ultimo estratto viene eseguito per primo).

Gli specialisti di Outpost24 scrivono di aver osservato da quattro a sette fasi di disimballaggio, ovvero la quantità di malware utilizzata negli attacchi Unfurling Hemlock varia.

Il caricamento simultaneo di molti payload in un sistema compromesso fornisce un elevato livello di ridondanza per gli aggressori, offrendo loro maggiori opportunità di prendere piede nel sistema e monetizzare. Nonostante il rischio maggiore di essere rilevati in questi casi, molti hacker seguono una strategia aggressiva simile, sperando che almeno una parte del loro malware sopravviva al processo di pulizia del sistema.

Tra i payload di Unfurling Hemlock, i ricercatori hanno notato: gli stealer Redline, RisePro e Mystic Stealer, il caricatore personalizzato Amadey, il loader e la backdoor SmokeLoader, l’utility Protection Disabler progettata per disabilitare Windows Defender e altre soluzioni di sicurezza, lo strumento per l’offuscamento e l’occultamento dei payload Enigma Packer, l’utilità di controllo delle prestazioni, utilizzata per controllare e registrare l’esecuzione di malware, nonché utilità che utilizzano strumenti Windows standard (wmiadap.exe e wmiprvse.exe) per raccogliere informazioni di sistema.

Anche se i ricercatori non entrano nei dettagli su come Unfurling Hemlock monetizza i suoi attacchi, si può presumere che il gruppo venda ad altri criminali i registri degli stealer e l’accesso alle macchine hackerate.

Apparentemente, i partecipanti a Unfurling Hemlock si trovano in uno dei paesi dell’Europa orientale. Ciò è indicato dalla presenza della lingua russa in alcuni campioni di malware, nonché dall’uso dell’Autonomous System 203727, che è associato all’hosting popolare tra i gruppi di hacker in questa regione.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.