La campagna malware SquidLoader colpisce le società finanziarie di Hong Kong

Il Trellix Advanced Research Center ha scoperto una nuova ondata di malware SquidLoader altamente sofisticato che prende di mira attivamente istituti di servizi finanziari a Hong Kong . Questa scoperta, dettagliata nell'analisi tecnica di Trellix e condivisa con Hackread.com, evidenzia una minaccia significativa, dovuta ai tassi di rilevamento del malware prossimi allo zero su VirusTotal al momento dell'analisi. Le prove indicano anche una campagna più ampia, con campioni simili osservati che hanno preso di mira entità a Singapore e in Australia.

L'attacco inizia con email di spear-phishing scritte in mandarino, accuratamente elaborate per impersonare istituti finanziari. Queste email consegnano un archivio RAR protetto da password contenente un file eseguibile dannoso. Il corpo dell'email è fondamentale per l'inganno, poiché fornisce la password per l'allegato. L'oggetto spesso si presenta come "Modulo di registrazione per investitori di Bond Connect che gestiscono attività di cambio valuta tramite banche estere".

L'email sembra provenire da un rappresentante finanziario e chiede al destinatario di controllare e confermare la "copia scansionata del modulo di registrazione dell'attività di cambio valuta per investitori Bond Connect" allegato. Questo file è astutamente camuffato, non solo imitando l'icona di un documento di Microsoft Word, ma anche adottando falsamente le proprietà di un file AMDRSServ.exe legittimo per aggirare l'esame iniziale.

Una volta eseguito, SquidLoader scatena una complessa infezione in cinque fasi. Prima decomprime il suo payload principale, quindi avvia il contatto con un server di Comando e Controllo ( C2 ) utilizzando un percorso URL che imita i servizi Kubernetes legittimi (ad esempio, /api/v1/namespaces/kube-system/services ) per integrarsi con il normale traffico di rete.

Questa comunicazione C2 iniziale trasmette informazioni critiche sull'host, tra cui indirizzo IP, nome utente, nome del computer e versione di Windows, ai suoi operatori. Infine, il malware scarica ed esegue un Cobalt Strike Beacon, che stabilisce una connessione a un server C2 secondario a un indirizzo diverso (ad esempio, 182.92.239.24 ), garantendo agli aggressori un accesso remoto persistente.

Uno dei motivi principali per cui SquidLoader è pericoloso è la sua ampia gamma di tecniche anti-analisi, anti-sandbox e anti-debug. Queste includono il controllo di strumenti di analisi specifici come IDA Pro ( ida.exe ) o Windbg ( windbg.exe ) e dei nomi utente sandbox più comuni.

In particolare, impiega un sofisticato sistema di threading che prevede lunghe pause e chiamate di procedura asincrone (APC) per rilevare ed eludere gli ambienti emulati. Se rileva un tentativo di analisi, il malware si autotermina. Dopo i controlli, visualizza un messaggio pop-up ingannevole in mandarino: "Il file è danneggiato e non può essere aperto", che richiede l'interazione dell'utente e può vanificare le sandbox automatiche.

"Le sue complesse tecniche anti-analisi, anti-sandbox e anti-debugging, unite ai suoi scarsi tassi di rilevamento, rappresentano una minaccia significativa per le organizzazioni prese di mira", hanno sottolineato i ricercatori di Trellix nel loro rapporto .

Gli attacchi osservati in numerosi Paesi evidenziano la natura globale di questa minaccia in evoluzione, spingendo le istituzioni finanziarie di tutto il mondo, in particolare a Hong Kong, Singapore e Australia, ad aumentare la propria sicurezza contro questi avversari altamente elusivi.