Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

UULoader: Un’Analisi Tecnica Approfondita del Malware e delle Tecniche di Attacco

Sandro Sana : 20 Agosto 2024 09:33

Negli ultimi mesi, una nuova minaccia informatica ha fatto il suo ingresso sulla scena globale: un malware chiamato UULoader. Questo sofisticato software malevolo sta suscitando preoccupazioni significative tra i ricercatori di sicurezza, in particolare per la sua capacità di distribuire altri potenti strumenti di hacking come Gh0st RAT e Mimikatz. Concentrandosi principalmente su utenti dell’Asia orientale, UULoader rappresenta un esempio preoccupante di come gli attacchi informatici stiano diventando sempre più subdoli e difficili da rilevare. È probabile che il malware sia di origine cinese, vista la presenza di stringhe cinesi nei file. Inoltre, i siti di phishing legati alle criptovalute continuano a crescere, aumentando i rischi per gli utenti.

Come Funziona UULoader

UULoader utilizza una tecnica chiamata DLL side-loading, sfruttando file DLL legittimi per eseguire codice dannoso. Questo metodo consiste nel mascherare il malware come parte di un software di installazione apparentemente innocuo, come un aggiornamento di Google Chrome o un driver Realtek. Durante il processo di installazione, UULoader esegue in background un payload malevolo, eludendo i controlli di sicurezza e nascondendo le sue operazioni agli utenti.

Uno degli aspetti più ingannevoli di UULoader è la sua capacità di camuffarsi all’interno di software legittimo. Ad esempio, in uno degli attacchi documentati, l’installatore di UULoader includeva un file MSI che, oltre a installare il software desiderato, caricava anche un eseguibile dannoso in una directory nascosta. Questo eseguibile poteva poi attivare ulteriori fasi dell’attacco, come il download e l’esecuzione di altri strumenti malevoli.

Cos’è il DLL Side-Loading?


Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber

«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi». Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca. Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]


Supporta RHC attraverso:
  • L'acquisto del fumetto sul Cybersecurity Awareness
  • Ascoltando i nostri Podcast
  • Seguendo RHC su WhatsApp
  • Seguendo RHC su Telegram
  • Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab


  • Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


    Il DLL side-loading è una tecnica di attacco in cui un file DLL (Dynamic Link Library) legittimo viene sostituito o imitato da una versione malevola. Questa versione dannosa viene poi caricata ed eseguita da un’applicazione legittima, sfruttando il fatto che molte applicazioni caricano dinamicamente le loro dipendenze senza verificare l’integrità del file.

    Come Funziona:

    1. Scelta del Bersaglio: L’attaccante sceglie un’applicazione legittima che carica una DLL durante il suo funzionamento. Spesso, queste applicazioni non verificano l’autenticità della DLL, il che rende l’attacco possibile.
    2. Creazione della DLL Malevola: L’attaccante crea una versione malevola della DLL che ha lo stesso nome della DLL legittima che l’applicazione dovrebbe caricare. Questa DLL malevola contiene codice dannoso che viene eseguito quando la DLL viene caricata.
    3. Posizionamento della DLL: La DLL malevola viene posizionata nella stessa directory dell’eseguibile legittimo o in una directory specificata nelle variabili di ambiente del sistema. Quando l’applicazione viene eseguita, carica la DLL malevola invece di quella legittima.
    4. Esecuzione del Codice Malevolo: Una volta caricata, la DLL esegue il codice malevolo. Questo può includere il download di ulteriori malware, il furto di dati, o l’esecuzione di comandi remoti.

    Implicazioni del DLL Side-Loading in UULoader

    Nel caso di UULoader, il malware utilizza il DLL side-loading per eseguire codice dannoso senza destare sospetti. Il processo di installazione di UULoader inizia con un file MSI che sembra installare un software legittimo. Durante questo processo, una DLL malevola viene caricata al posto di una legittima, permettendo al malware di installarsi nel sistema in modo furtivo.

    Una volta che la DLL malevola è stata caricata, UULoader può procedere a scaricare e installare ulteriori strumenti dannosi come Gh0st RAT e Mimikatz. Questi strumenti consentono agli attaccanti di prendere il controllo del sistema, rubare credenziali, e monitorare le attività dell’utente.

    Esempi di DLL Side-Loading

    Il DLL side-loading è stato utilizzato in numerosi attacchi informatici nel corso degli anni. Ad esempio, molti attaccanti sfruttano software comunemente utilizzati, come lettori PDF o software multimediali, per caricare DLL malevoli. Questo metodo è particolarmente efficace contro sistemi meno protetti o dove il software di sicurezza non è aggiornato.

    Difendersi dal DLL Side-Loading

    Per proteggersi dal DLL side-loading, è essenziale adottare alcune misure:

    • Verifica della Firma Digitale: Le applicazioni dovrebbero verificare la firma digitale delle DLL prima di caricarle, assicurandosi che provengano da fonti attendibili.
    • Controllo delle Directory di Caricamento: Limitare le directory da cui un’applicazione può caricare DLL può ridurre il rischio di attacchi di side-loading.
    • Monitoraggio del Sistema: L’implementazione di strumenti di monitoraggio avanzati può aiutare a rilevare attività sospette legate al caricamento di DLL malevoli.

    Gh0st RAT: Controllo Remoto dei Sistemi Infetti

    Uno dei principali payload distribuiti da UULoader è Gh0st RAT, un Remote Access Trojan (RAT) che consente agli attaccanti di controllare da remoto i computer infetti. Gh0st RAT non è una novità nel panorama delle minacce informatiche, ma le sue varianti recenti, modificate con l’ausilio di progetti open-source, hanno migliorato notevolmente le sue capacità. Questo malware è in grado di registrare le attività dell’utente, catturare schermate, rubare informazioni sensibili e persino installare ulteriori software dannosi​ (eSentire).

    Gh0st RAT viene spesso distribuito attraverso falsi installatori di software popolari, come Google Chrome, e mira principalmente a utenti di lingua cinese. Una volta installato, questo strumento permette agli hacker di monitorare e controllare in remoto i dispositivi compromessi, con gravi rischi per la privacy e la sicurezza delle vittime.

    Mimikatz: Il Furto di Credenziali

    Un altro strumento distribuito da UULoader è Mimikatz, un famigerato tool utilizzato per rubare credenziali dagli ambienti Windows. Mimikatz può estrarre password in chiaro, hash delle password, PIN e altri dati sensibili direttamente dalla memoria del sistema, anche in presenza di protezioni avanzate come la LSA Protection (Local Security Authority). Sebbene Windows abbia implementato misure per ridurre la memorizzazione di password in chiaro, Mimikatz è ancora in grado di aggirare molte di queste protezioni utilizzando driver appositamente creati​ (HackTricks | HackTricks).

    Questo strumento è particolarmente pericoloso negli attacchi mirati, dove gli hacker utilizzano le credenziali rubate per muoversi lateralmente all’interno di una rete aziendale, aumentando il loro accesso e causando potenzialmente danni estesi.

    Implicazioni Geopolitiche e di Sicurezza

    L’emergere di UULoader non è solo un segnale di allarme per la sicurezza informatica, ma anche un indicatore delle crescenti tensioni geopolitiche. Gli attacchi informatici mirati che sfruttano UULoader sono stati rilevati principalmente in Asia orientale, suggerendo che potrebbero esserci attori statali o gruppi sponsorizzati dallo stato dietro queste operazioni. Questa regione, già teatro di complesse dinamiche geopolitiche, potrebbe essere ulteriormente destabilizzata da attacchi informatici che mirano a infrastrutture critiche e settori strategici.

    Le capacità di UULoader di diffondere malware avanzati come Gh0st RAT e Mimikatz pongono seri rischi non solo per le singole organizzazioni, ma anche per la sicurezza nazionale, specialmente se utilizzati in attacchi mirati contro infrastrutture critiche.

    Implicazioni per la Sicurezza

    La scoperta di UULoader e la sua capacità di distribuire software malevolo come Gh0st RAT e Mimikatz sottolinea l’importanza di mantenere elevati standard di sicurezza informatica. Le organizzazioni devono essere vigili e adottare misure proattive per proteggere i propri sistemi, inclusa la formazione del personale sulla sicurezza, l’implementazione di controlli di accesso rigorosi e l’uso di soluzioni antivirus aggiornate.

    Conclusioni

    UULoader rappresenta un’evoluzione significativa nel panorama delle minacce informatiche, combinando tecniche avanzate come il DLL side-loading con la distribuzione di malware pericolosi come Gh0st RAT e Mimikatz. La sua diffusione in Asia orientale e il potenziale coinvolgimento di attori statali sollevano preoccupazioni non solo per la sicurezza informatica, ma anche per la stabilità geopolitica.

    Per contrastare queste minacce, è essenziale che le organizzazioni adottino misure di sicurezza proattive, tra cui l’implementazione di tecniche di verifica dell’integrità dei file, il monitoraggio continuo delle attività di rete, e l’aggiornamento costante dei sistemi di sicurezza. Solo un approccio multilivello alla sicurezza informatica può sperare di contrastare minacce sofisticate come UULoader e i suoi strumenti associati.Il continuo sviluppo di minacce come UULoader dimostra che gli attaccanti informatici stanno affinando le loro tecniche per eludere i tradizionali metodi di rilevamento, rendendo essenziale un approccio multilivello alla sicurezza informatica.

    Sandro Sana
    Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

    Lista degli articoli
    Visita il sito web dell'autore

    Articoli in evidenza

    E’ Cyber Shock Globale! Gli 007 di Pechino si infiltrano e compromettono le dorsali Internet di tutto il mondo
    Di Redazione RHC - 29/08/2025

    Gli Stati Uniti e diversi Paesi alleati hanno lanciato un allarme congiunto sulla crescente offensiva cibernetica condotta da attori sponsorizzati dalla Repubblica Popolare Cinese. Secondo una nuova C...

    I gestori di password più diffusi, tra cui LastPass, 1Password e Bitwarden sono vulnerabili al clickjacking
    Di Redazione RHC - 28/08/2025

    Un esperto di sicurezza ha scoperto che sei dei gestori di password più diffusi, utilizzati da decine di milioni di persone, sono vulnerabili al clickjacking, un fenomeno che consente agli aggres...

    Vulnerabilità critiche in NetScaler ADC e Gateway. Aggiorna subito! Gli attacchi sono in corso!
    Di Redazione RHC - 28/08/2025

    NetScaler ha avvisato gli amministratori di tre nuove vulnerabilità in NetScaler ADC e NetScaler Gateway, una delle quali è già utilizzata in attacchi attivi. Sono disponibili aggiornam...

    Tentativo di phishing contro PagoPA? Ecco come ho fatto chiudere in 3 ore il sito malevolo
    Di Davide Santoro - 28/08/2025

    Grazie alla nostra community recentemente sono venuto a conoscenza di un tentativo di phishing contro PagoPA e ho deciso di fare due cose. Per prima cosa attivarmi in prima persona per arrecare un dan...

    Microsoft Teams in panne: bloccata l’apertura dei documenti Office incorporati
    Di Luca Galuppi - 28/08/2025

    Un giovedì nero per milioni di utenti Microsoft Teams in tutto il mondo. Una funzionalità chiave della piattaforma di collaborazione – l’apertura dei documenti Office incorpora...