Nuovi Attacchi del Caricatore IDAT Utilizzano la Steganografia per Distribuire il RAT Remcos
Entità ucraine con base in Finlandia sono diventate bersaglio di una campagna maliziosa che distribuisce il RAT (Remote Access Trojan) commerciale noto come Remcos RAT utilizzando un particolare caricatore di malware chiamato IDAT Loader.
L’attacco è stato collegato a un attore minaccioso monitorato dal Computer Emergency Response Team dell’Ucraina (CERT-UA) conosciuto con il nome in codice UAC-0184.
Secondo quanto riportato da Michael Dereviashkin, ricercatore di Morphisec, l’attacco ha utilizzato la steganografia come tecnica, una pratica che consiste nell’occultare informazioni all’interno di altri dati al fine di nasconderne l’esistenza. Questo metodo è stato utilizzato come parte del caricatore IDAT.
L’IDAT Loader, che ha una sovrapposizione con un’altra famiglia di caricatori chiamata Hijack Loader, è stato implicato nella distribuzione di carichi aggiuntivi come DanaBot, SystemBC e RedLine Stealer negli ultimi mesi. Inoltre, è stato utilizzato anche da un altro attore minaccioso noto come TA544 per distribuire Remcos RAT e SystemBC attraverso attacchi di phishing.
La campagna di phishing, resa pubblica da CERT-UA all’inizio di gennaio 2024, coinvolge l’utilizzo di esche a tema bellico per avviare una catena di infezione che porta al rilascio di IDAT Loader. Quest’ultimo, a sua volta, utilizza una PNG steganografica incorporata per individuare ed estrarre Remcos RAT.
In un altro sviluppo preoccupante, CERT-UA ha rivelato che le forze di difesa del paese sono state prese di mira attraverso l’app di messaggistica istantanea Signal. Gli aggressori hanno distribuito un documento Microsoft Excel trappola che esegue COOKBOX, un malware basato su PowerShell capace di caricare ed eseguire comandi.
Parallelamente, sono state osservate nuove campagne malware che propagano il PikaBot dal 8 febbraio 2024. Questa nuova variante sembra essere attualmente in fase di sviluppo attivo, presentando un metodo di unpacking e un’oscuramento più sofisticati rispetto alle versioni precedenti.
Secondo Elastic Security Labs, la nuova versione del caricatore PikaBot presenta anche un’implementazione di decrittazione stringa e altre modifiche significative alla sua funzionalità di oscuramento.
Questi recenti sviluppi evidenziano la crescente complessità e pericolosità delle minacce informatiche attuali, mettendo in evidenza la necessità di una vigilanza costante e di strategie di difesa avanzate per proteggere sia le entità pubbliche che quelle private dalle attività cybercriminali.