Edoardo Faccioli : 28 Ottobre 2024 07:31
Dopo i recenti interventi delle forze dell’ordine per bloccare e smantellare le principali botnet dedicate alla distribuzione di malware, sfruttate dalle più attive gang di ransomware, si è creato un “vuoto” nel mercato. A riempirlo è stato Latrodectus, un malware loader che negli ultimi mesi si sta affermando con sempre maggiore concretezza.
Cos’è un malware loader?
Un malware loader è un programma progettato per scaricare ed eseguire altri malware su sistemi infetti. Il suo compito principale è introdurre e installare malware più complessi, come ransomware, trojan bancari, spyware o altre minacce informatiche, senza che la vittima se ne accorga.
Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Latrodectus, essendo un malware loader, ha il compito di installare altri tipi di malware. Per svolgere questa operazione, deve essere distribuito all’interno di una rete e installato su una potenziale macchina vittima.
La principale metodologia di distribuzione rimane il classico phishing via email, simile a quanto avvenuto durante le campagne di distribuzione del malware IcedID.
La diffusione avviene tramite l’invio di email contenenti documenti malevoli, camuffati da contenuti legittimi, con l’obiettivo di ingannare l’utente target. Accedendo al documento, l’utente viene reindirizzato a un URL malevolo, dal quale viene scaricato il payload di attacco, spesso costituito da un file Javascript di grandi dimensioni a causa delle tecniche di offuscamento utilizzate. Questo file Javascript ha il compito di scaricare un file MSI, che a sua volta installa le librerie DLL necessarie per la decompressione della DLL di Latrodectus. Questa DLL permette il collegamento al server C2 (Command and Control) dell’attaccante.
Il malware loader, conosciuto anche come BlackWindow, IceNova, Loutus o Unidentified 111, è associato a diverse campagne condotte da initial access brokers (IABs), noti come TA577 e TA578.
Il principale motivo dello sviluppo di questo malware è il guadagno economico. Utilizza tecniche sofisticate, come l’offuscamento, la crittografia e meccanismi anti-rilevamento, per mantenere la persistenza sui sistemi infetti. Inoltre, raccoglie informazioni di sistema, esegue comandi remoti ed estrae dati sensibili, diventando così una potente arma per diversi Threat Actors che hanno scopi e obiettivi differenti.
Per proteggersi da Latrodectus, oltre all’utilizzo e all’inserimento dei principali IOC (Indicatori di Compromissione) aggiornati, forniti da vari vendor o risorse open-source, è fondamentale che una compagnia mantenga un costante aggiornamento e una formazione continua dei propri dipendenti sulla cybersecurity di base. Inoltre, è cruciale implementare filtri email per bloccare eventuali email malevole ed effettuare backup regolari dei sistemi aziendali, in modo da garantire un ripristino sicuro in caso di infezione.
Le minacce di questo genere sono in continua evoluzione, diventando sempre più modulari e resistenti ai sistemi di sicurezza. Per questo motivo, è essenziale mantenere aggiornati tutti i dispositivi informatici in uso, al fine di rilevare rapidamente le firme malevole associate a questi malware.
Oggi i bambini sono un po’ più al sicuro grazie ad una operazione di polizia coordinata da Europol che ha portato alla chiusura di Kidflix. Si tratta di una delle più grandi piattafor...
Uno degli autori di Flipper Zero, Pavel Zhovner, ha condiviso i dettagli su come stanno procedendo i lavori su una nuova versione del multi-strumento per hacker: Flipper One. Lo sviluppatore ha pubbli...
Il ransomware HellCat è apparso nella seconda metà del 2024 e ha attirato l’attenzione degli analisti grazie all’umorismo delle sue dichiarazioni pubbliche. Ricordiamo l’...
Il 28 marzo 2025, un utente del noto forum di cybersecurity BreachForums, con lo pseudonimo ThinkingOne, ha rivelato quello che potrebbe essere il più grande data breach mai registrato nel mondo ...
Quando Jeffrey Goldberg dell’Atlantic ha fatto trapelare accidentalmente un messaggio di gruppo privato di alti funzionari statunitensi su un possibile attacco contro gli Houthi nello Yemen, ha...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006