Allarme Cyber: Malware Mascherati da Certificati Digitali nella Nuova Ondata di Attacchi Informatici
Emergente strategia di cyber attacco sfrutta certificati di firma digitali legittimi
In una recente scoperta, gli esperti di HarfangLab hanno individuato una pericolosa campagna che fa uso di certificati di firma digitale legittimi per distribuire il malware noto come Hijack Loader. Questi certificati, utilizzati normalmente per conferire autenticità e sicurezza ai software, sono stati impiegati agli inizi di ottobre per insediare un nocivo software di furto dati chiamato Lumma.
Hijack Loader, conosciuto anche come DOILoader e SHADOWLADDER, ha fatto la sua prima apparizione nel panorama cyber nel settembre del 2023. Si propaga tramite file contraffatti che imitano software o film piratati. Negli attacchi più recenti, gli utenti vengono reindirizzati a pagine CAPTCHA fasulle, dove viene loro richiesto di eseguire comandi PowerShell dannosi che portano al download di un archivio infetto.
Dall’inizio di settembre, HarfangLab ha individuato tre varianti di questi script PowerShell nocivi, che fanno uso degli esecutori “mshta.exe” e “msiexec.exe” per caricare e scaricare dati maligni da server distanti. L’archivio, una volta scaricato, contiene un file eseguibile apparentemente inoffensivo che però carica una DLL dannosa responsabile dell’attivazione di Hijack Loader, il quale a sua volta decodifica ed esegue dati criptati per scaricare infostealer più invasivi.
A partire da ottobre 2024, i cyber-criminali hanno optato per l’utilizzo di file binari firmati invece delle DLL per aggirare la rilevazione da parte dei software antivirus. Nonostante non sia confermato il furto di tutti i certificati, vi è il sospetto che alcuni possano essere stati generati direttamente dagli aggressori. È stato riportato che i certificati implicati sono già stati revocati.
Recentemente, anche SonicWall ha messo in guardia da un incremento di attacchi utilizzando un altro malware, CoreWarrior, che si diffonde velocemente attraverso la creazione di numerose copie di sé e l’installazione di backdoor per accessi remoti. L’uso di firme digitali legittime per la diffusione di malware sottolinea come anche le tecniche di sicurezza più consolidate possono trasformarsi in strumenti efficaci nelle mani di malintenzionati.
Questo rinnova l’importanza di intensificare gli sforzi nel campo della sicurezza informatica e di rimanere vigili su qualsiasi attività sospetta, anche quando appare innocua.
Considerazioni Finali e Introspezione nel Futuro della Cyber Security
La crescente sofisticazione degli attacchi cyber evidenzia una realtà allarmante: nessuna misura di sicurezza è impenetrabile. La preoccupante tendenza dell’utilizzo di certificati di firma digitale legittimi per la distribuzione di malware mette in luce la necessità per le organizzazioni di rivedere continuamente le proprie strategie di sicurezza. È essenziale adottare un approccio di sicurezza stratificato e implementare soluzioni avanzate di threat intelligence per anticipare e neutralizzare queste minacce. Inoltre, la continua educazione e sensibilizzazione su questi temi rimane un pilastro fondamentale per garantire la difesa dal crescente numero di attacchi cyber.
Cyber Net Now
Cyber Net Now è una rete di professionisti che volontariamente apportano il loro contributo alla divulgazione di notizie e tematiche del mondo della cybersecurity, della sicurezza informatica e della tecnologia, specialmente in Italia.