Scoperta di un nuovo trojan di accesso remoto: ResolverRAT
I ricercatori di cybersecurity hanno individuato un nuovo e sofisticato trojan di accesso remoto chiamato ResolverRAT, osservato in attacchi mirati ai settori sanitario e farmaceutico. Questo malware sfrutta esche basate sulla paura, veicolate tramite email di phishing, progettate per indurre i destinatari a cliccare su un link malevolo. Una volta cliccato, il link indirizza l’utente a scaricare e aprire un file che avvia la catena di esecuzione di ResolverRAT.
Metodi di attacco e tecniche di evasione
L’attività, osservata di recente il 10 marzo 2025, condivide infrastrutture e meccanismi di consegna con campagne di phishing che hanno distribuito malware come Lumma e Rhadamanthys. Un aspetto notevole della campagna è l’uso di esche di phishing localizzate, con email redatte nelle lingue prevalentemente parlate nei paesi bersaglio, tra cui hindi, italiano, ceco, turco, portoghese e indonesiano. Questo indica il tentativo dell’attore di minaccia di ampliare il raggio d’azione attraverso un targeting specifico per regione e massimizzare i tassi di infezione.
Caratteristiche tecniche di ResolverRAT
La catena di infezione è caratterizzata dall’uso della tecnica del DLL side-loading per avviare il processo. La prima fase è un loader in memoria che decritta ed esegue il payload principale, incorporando una serie di trucchi per passare inosservato. Il payload di ResolverRAT utilizza crittografia e compressione, esistendo solo in memoria una volta decodificato. La sequenza di inizializzazione di ResolverRAT rivela un sofisticato processo di avvio multi-fase progettato per la furtività e la resilienza, implementando metodi di persistenza ridondanti tramite il Registro di Windows e sul file system installandosi in diverse posizioni come meccanismo di fallback.
Comunicazione e infrastruttura C2 avanzata
Una volta lanciato, il malware utilizza un’autenticazione basata su certificati personalizzati prima di stabilire il contatto con un server di comando e controllo (C2), bypassando così le autorità radice della macchina. Implementa anche un sistema di rotazione IP per connettersi a un server C2 alternativo se il server C2 primario diventa non disponibile o viene disattivato. Inoltre, ResolverRAT è dotato di capacità per eludere gli sforzi di rilevamento attraverso il pinning dei certificati, l’offuscamento del codice sorgente e modelli di beaconing irregolari verso il server C2.
Obiettivo finale del malware
L’obiettivo finale del malware è processare i comandi emessi dal server C2 ed esfiltrare i dati sensibili. Questa infrastruttura C2 avanzata dimostra le capacità avanzate dell’attore di minaccia, combinando comunicazioni sicure, meccanismi di fallback e tecniche di evasione progettate per mantenere un accesso persistente mentre si evita il rilevamento da parte dei sistemi di monitoraggio della sicurezza.
Fonte: The Hackers News
Ricevi le ultime attualità sul mondo tech!