Gli attori delle minacce stanno vendendo un nuovo crypter e loader chiamato ASMCrypt, descritto come una versione evoluta di un altro malware loader noto come DoubleFinger. L’obiettivo di questo tipo di malware è caricare il payload finale senza che il processo di caricamento o il payload stesso vengano rilevati dai software antivirus/EDR.
Funzionamento di ASMCrypt
Una volta acquistato e lanciato dai clienti, ASMCrypt è progettato per stabilire un contatto con un servizio backend attraverso la rete TOR utilizzando credenziali codificate, permettendo così agli acquirenti di costruire payload personalizzati per l’uso nelle loro campagne. L’applicazione crea un blob criptato nascosto all’interno di un file .PNG, che deve essere caricato su un sito di hosting di immagini.
Popolarità dei Loader
I loader sono diventati sempre più popolari per la loro capacità di agire come un servizio di consegna di malware che può essere utilizzato da diversi attori delle minacce per ottenere un accesso iniziale alle reti per condurre attacchi di ransomware, furto di dati e altre attività cyber maliziose.
Altri Loader e tattiche
Loader come Bumblebee, CustomerLoader e GuLoader sono stati utilizzati per consegnare una varietà di software maligni. Bumblebee, ad esempio, è riemerso dopo una pausa di due mesi alla fine di agosto 2023 in una nuova campagna di distribuzione che ha impiegato server Web Distributed Authoring and Versioning (WebDAV) per diffondere il loader.
Alleanze oscure e nuovi malware
In segno di un’economia del cybercrimine in maturazione, attori delle minacce precedentemente considerati distinti si sono alleati con altri gruppi, come evidenziato nel caso di una “alleanza oscura” tra GuLoader e Remcos RAT. Nuove versioni di un malware ruba-informazioni chiamato Lumma Stealer sono state avvistate in natura, distribuite tramite un sito web falso che imita un legittimo sito .DOCX to .PDF.