UULoader: Un’Analisi Tecnica Approfondita del Malware e delle Tecniche di Attacco

Negli ultimi mesi, una nuova minaccia informatica ha fatto il suo ingresso sulla scena globale: un malware chiamato UULoader. Questo sofisticato software malevolo sta suscitando preoccupazioni significative tra i ricercatori di sicurezza, in particolare per la sua capacità di distribuire altri potenti strumenti di hacking come Gh0st RAT e Mimikatz. Concentrandosi principalmente su utenti dell’Asia orientale, UULoader rappresenta un esempio preoccupante di come gli attacchi informatici stiano diventando sempre più subdoli e difficili da rilevare. È probabile che il malware sia di origine cinese, vista la presenza di stringhe cinesi nei file. Inoltre, i siti di phishing legati alle criptovalute continuano a crescere, aumentando i rischi per gli utenti.

Come Funziona UULoader

UULoader utilizza una tecnica chiamata DLL side-loading, sfruttando file DLL legittimi per eseguire codice dannoso. Questo metodo consiste nel mascherare il malware come parte di un software di installazione apparentemente innocuo, come un aggiornamento di Google Chrome o un driver Realtek. Durante il processo di installazione, UULoader esegue in background un payload malevolo, eludendo i controlli di sicurezza e nascondendo le sue operazioni agli utenti.

Uno degli aspetti più ingannevoli di UULoader è la sua capacità di camuffarsi all’interno di software legittimo. Ad esempio, in uno degli attacchi documentati, l’installatore di UULoader includeva un file MSI che, oltre a installare il software desiderato, caricava anche un eseguibile dannoso in una directory nascosta. Questo eseguibile poteva poi attivare ulteriori fasi dell’attacco, come il download e l’esecuzione di altri strumenti malevoli.

Cos’è il DLL Side-Loading?

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Il DLL side-loading è una tecnica di attacco in cui un file DLL (Dynamic Link Library) legittimo viene sostituito o imitato da una versione malevola. Questa versione dannosa viene poi caricata ed eseguita da un’applicazione legittima, sfruttando il fatto che molte applicazioni caricano dinamicamente le loro dipendenze senza verificare l’integrità del file.

Come Funziona:

1. Scelta del Bersaglio: L’attaccante sceglie un’applicazione legittima che carica una DLL durante il suo funzionamento. Spesso, queste applicazioni non verificano l’autenticità della DLL, il che rende l’attacco possibile.
2. Creazione della DLL Malevola: L’attaccante crea una versione malevola della DLL che ha lo stesso nome della DLL legittima che l’applicazione dovrebbe caricare. Questa DLL malevola contiene codice dannoso che viene eseguito quando la DLL viene caricata.
3. Posizionamento della DLL: La DLL malevola viene posizionata nella stessa directory dell’eseguibile legittimo o in una directory specificata nelle variabili di ambiente del sistema. Quando l’applicazione viene eseguita, carica la DLL malevola invece di quella legittima.
4. Esecuzione del Codice Malevolo: Una volta caricata, la DLL esegue il codice malevolo. Questo può includere il download di ulteriori malware, il furto di dati, o l’esecuzione di comandi remoti.

Implicazioni del DLL Side-Loading in UULoader

Nel caso di UULoader, il malware utilizza il DLL side-loading per eseguire codice dannoso senza destare sospetti. Il processo di installazione di UULoader inizia con un file MSI che sembra installare un software legittimo. Durante questo processo, una DLL malevola viene caricata al posto di una legittima, permettendo al malware di installarsi nel sistema in modo furtivo.

Una volta che la DLL malevola è stata caricata, UULoader può procedere a scaricare e installare ulteriori strumenti dannosi come Gh0st RAT e Mimikatz. Questi strumenti consentono agli attaccanti di prendere il controllo del sistema, rubare credenziali, e monitorare le attività dell’utente.

Esempi di DLL Side-Loading

Il DLL side-loading è stato utilizzato in numerosi attacchi informatici nel corso degli anni. Ad esempio, molti attaccanti sfruttano software comunemente utilizzati, come lettori PDF o software multimediali, per caricare DLL malevoli. Questo metodo è particolarmente efficace contro sistemi meno protetti o dove il software di sicurezza non è aggiornato.

Difendersi dal DLL Side-Loading

Per proteggersi dal DLL side-loading, è essenziale adottare alcune misure:

• Verifica della Firma Digitale: Le applicazioni dovrebbero verificare la firma digitale delle DLL prima di caricarle, assicurandosi che provengano da fonti attendibili.
• Controllo delle Directory di Caricamento: Limitare le directory da cui un’applicazione può caricare DLL può ridurre il rischio di attacchi di side-loading.
• Monitoraggio del Sistema: L’implementazione di strumenti di monitoraggio avanzati può aiutare a rilevare attività sospette legate al caricamento di DLL malevoli.

Gh0st RAT: Controllo Remoto dei Sistemi Infetti

Uno dei principali payload distribuiti da UULoader è Gh0st RAT, un Remote Access Trojan (RAT) che consente agli attaccanti di controllare da remoto i computer infetti. Gh0st RAT non è una novità nel panorama delle minacce informatiche, ma le sue varianti recenti, modificate con l’ausilio di progetti open-source, hanno migliorato notevolmente le sue capacità. Questo malware è in grado di registrare le attività dell’utente, catturare schermate, rubare informazioni sensibili e persino installare ulteriori software dannosi​ (eSentire).

Gh0st RAT viene spesso distribuito attraverso falsi installatori di software popolari, come Google Chrome, e mira principalmente a utenti di lingua cinese. Una volta installato, questo strumento permette agli hacker di monitorare e controllare in remoto i dispositivi compromessi, con gravi rischi per la privacy e la sicurezza delle vittime.

Mimikatz: Il Furto di Credenziali

Un altro strumento distribuito da UULoader è Mimikatz, un famigerato tool utilizzato per rubare credenziali dagli ambienti Windows. Mimikatz può estrarre password in chiaro, hash delle password, PIN e altri dati sensibili direttamente dalla memoria del sistema, anche in presenza di protezioni avanzate come la LSA Protection (Local Security Authority). Sebbene Windows abbia implementato misure per ridurre la memorizzazione di password in chiaro, Mimikatz è ancora in grado di aggirare molte di queste protezioni utilizzando driver appositamente creati​ (HackTricks | HackTricks).

Questo strumento è particolarmente pericoloso negli attacchi mirati, dove gli hacker utilizzano le credenziali rubate per muoversi lateralmente all’interno di una rete aziendale, aumentando il loro accesso e causando potenzialmente danni estesi.

Implicazioni Geopolitiche e di Sicurezza

L’emergere di UULoader non è solo un segnale di allarme per la sicurezza informatica, ma anche un indicatore delle crescenti tensioni geopolitiche. Gli attacchi informatici mirati che sfruttano UULoader sono stati rilevati principalmente in Asia orientale, suggerendo che potrebbero esserci attori statali o gruppi sponsorizzati dallo stato dietro queste operazioni. Questa regione, già teatro di complesse dinamiche geopolitiche, potrebbe essere ulteriormente destabilizzata da attacchi informatici che mirano a infrastrutture critiche e settori strategici.

Le capacità di UULoader di diffondere malware avanzati come Gh0st RAT e Mimikatz pongono seri rischi non solo per le singole organizzazioni, ma anche per la sicurezza nazionale, specialmente se utilizzati in attacchi mirati contro infrastrutture critiche.

Implicazioni per la Sicurezza

La scoperta di UULoader e la sua capacità di distribuire software malevolo come Gh0st RAT e Mimikatz sottolinea l’importanza di mantenere elevati standard di sicurezza informatica. Le organizzazioni devono essere vigili e adottare misure proattive per proteggere i propri sistemi, inclusa la formazione del personale sulla sicurezza, l’implementazione di controlli di accesso rigorosi e l’uso di soluzioni antivirus aggiornate.

Conclusioni

UULoader rappresenta un’evoluzione significativa nel panorama delle minacce informatiche, combinando tecniche avanzate come il DLL side-loading con la distribuzione di malware pericolosi come Gh0st RAT e Mimikatz. La sua diffusione in Asia orientale e il potenziale coinvolgimento di attori statali sollevano preoccupazioni non solo per la sicurezza informatica, ma anche per la stabilità geopolitica.

Per contrastare queste minacce, è essenziale che le organizzazioni adottino misure di sicurezza proattive, tra cui l’implementazione di tecniche di verifica dell’integrità dei file, il monitoraggio continuo delle attività di rete, e l’aggiornamento costante dei sistemi di sicurezza. Solo un approccio multilivello alla sicurezza informatica può sperare di contrastare minacce sofisticate come UULoader e i suoi strumenti associati.Il continuo sviluppo di minacce come UULoader dimostra che gli attaccanti informatici stanno affinando le loro tecniche per eludere i tradizionali metodi di rilevamento, rendendo essenziale un approccio multilivello alla sicurezza informatica.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Sandro Sana

Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Aree di competenza: Cyber Threat Intelligence, NIS2, Governance & Compliance della Sicurezza, CSIRT & Crisis Management, Ricerca, Divulgazione e Cultura Cyber

Visita il sito web dell'autore