I ricercatori di cybersecurity stanno segnalando una nuova ondata di attacchi informatici che sfruttano versioni craccate di software per distribuire pericolosi information stealer come Lumma e ACR Stealer. Secondo l’AhnLab Security Intelligence Center (ASEC), a partire da gennaio 2025 si è registrato un aumento significativo nella distribuzione di ACR Stealer.
Tecnica del Dead Drop Resolver: Come Funziona
Uno degli aspetti più interessanti di ACR Stealer è l’uso della tecnica chiamata dead drop resolver per individuare il server di comando e controllo (C2). Questa strategia prevede l’utilizzo di servizi legittimi come Steam, Telegraph di Telegram, Google Forms e Google Slides.
Secondo ASEC, “Gli attori della minaccia inseriscono il dominio C2 codificato in Base64 su una pagina specifica. Il malware accede a questa pagina, analizza la stringa e ottiene l’indirizzo effettivo del dominio C2 per eseguire comportamenti dannosi.”
Capacità di ACR Stealer e Nuove Tecniche di Distribuzione
ACR Stealer, in passato diffuso tramite il malware Hijack Loader, è in grado di raccogliere un’ampia gamma di dati dai sistemi compromessi, tra cui:
- File locali
- Dati dei browser web
- Estensioni di portafogli di criptovalute
Inoltre, ASEC ha individuato un’altra campagna che utilizza file con estensione “.MSC”, eseguibili tramite la Microsoft Management Console (MMC), per distribuire il malware Rhadamanthys Stealer.
Vulnerabilità Sfruttate: CVE-2024-43572 (GrimResource)
Secondo ASEC, esistono due tipologie di malware MSC:
- Malware che sfrutta la vulnerabilità apds.dll (CVE-2024-43572).
- Malware che esegue il comando “command” utilizzando il Console Taskpad.
“Il file MSC è mascherato da documento di Microsoft Word. Cliccando sul pulsante ‘Apri’, viene scaricato ed eseguito uno script PowerShell da una fonte esterna, contenente un file EXE (Rhadamanthys).”
Questa vulnerabilità, soprannominata GrimResource, è stata documentata per la prima volta da Elastic Security Labs nel giugno 2024, identificata come zero-day e corretta da Microsoft nell’ottobre 2024.
Attacchi Attraverso Piattaforme di Supporto Clienti
Le campagne malware non si fermano qui. Alcuni attacchi recenti hanno preso di mira piattaforme di supporto clienti come Zendesk, dove i criminali informatici si spacciano per clienti legittimi al fine di indurre gli operatori a scaricare il malware Zhong Stealer.
Impatto Globale: Milioni di Computer Compromessi
Un rapporto pubblicato da Hudson Rock rivela che oltre 30 milioni di computer sono stati infettati da information stealer negli ultimi anni. Questa ondata di infezioni ha portato al furto di:
- Credenziali aziendali
- Cookie di sessione
Tali dati vengono poi venduti su forum clandestini a criminali informatici pronti a sfruttarli per ulteriori attacchi. Il rischio per le aziende è elevato, poiché queste credenziali possono essere utilizzate per ottenere accesso non autorizzato agli ambienti aziendali sensibili.
Un Mercato Redditizio per i Cybercriminali
Secondo Hudson Rock, “Con appena 10 dollari per ogni log (computer), i cybercriminali possono acquistare dati rubati da dipendenti che operano in settori riservati della difesa e militari.”
Questa dichiarazione sottolinea come gli information stealer non rappresentino solo una minaccia per gli utenti individuali, ma anche un grave pericolo per la sicurezza nazionale e aziendale. Il valore di tali dati non risiede solo nella singola infezione, ma nella rete completa di credenziali compromesse e accessi non autorizzati.
Conclusioni
Gli ultimi sviluppi evidenziano il ruolo sempre più centrale degli stealer malware come vettori di accesso iniziale alle infrastrutture aziendali. Questi malware forniscono un punto d’ingresso che, se sfruttato adeguatamente dai cybercriminali, può portare a conseguenze devastanti per aziende e istituzioni.
È fondamentale che le organizzazioni rafforzino le proprie difese informatiche, prestando particolare attenzione a pratiche sicure di gestione delle credenziali, aggiornamenti regolari del software e formazione del personale per riconoscere e prevenire tali minacce.
Fonte: The Hackers News
Ricevi le ultime attualità sul mondo tech!
