Dopo circa sette mesi di apparente inattività, Goodloader è stato rilevato nuovamente in circolazione in una versione aggiornata e più insidiosa. Questo malware, scritto in JavaScript e usato come punto di ingresso nei dispositivi compromessi, è stato analizzato da un ricercatore di sicurezza insieme ai tecnici di Huntress, che hanno evidenziato nuovi espedienti volti a ridurre la probabilità di essere individuato e a incrementare il successo delle campagne malevole.
Indice
Come si diffonde
L’infezione parte quasi sempre dalla cosiddetta tecnica del SEO poisoning: i criminali manipolano i risultati dei motori di ricerca per promuovere pagine fasulle che sembrano offrire documenti o risorse legittime. L’utente, seguendo il link e cliccando su un presunto file PDF, viene invitato a scaricare un archivio ZIP. Al suo interno non c’è il documento atteso, ma un file JavaScript che contiene Goodloader.
Tecniche per eludere i controlli
Gli autori della nuova release hanno introdotto vari accorgimenti per sviare l’analisi automatica. Se l’archivio viene aperto con l’esploratore di sistema, il file appare come un normale .js; usando invece strumenti di estrazione come 7‑Zip, l’utente potrebbe vedere soltanto un file di testo, rendendo più difficile l’ispezione manuale. Inoltre, nel codice vengono impiegati glifi e caratteri non convenzionali per frammentare parole chiave riconoscibili, circumnavigando così gli scanner statici che cercano pattern noti.
Cosa fa Goodloader una volta eseguito
Una volta lanciato, Goodloader scarica altri componenti malevoli. Tra i payload osservati figura la backdoor Supper SOCKS5, che offre agli aggressori un accesso remoto al dispositivo e la possibilità di pivotare sulla rete locale. Questo accesso viene in molti casi sfruttato come trampolino per distribuire vari ceppi di ransomware — testimoniati nelle campagne recenti sono nomi come BlackCat, Quantum Locker, Zeppelin e Rhysida — con le ovvie conseguenze di estorsione e interruzione operativa.
Persistenza, escalation e impatto sulle reti
Per mantenere la persistenza il loader crea un collegamento (.LNK) nelle cartelle di esecuzione automatica; in ambienti aziendali con controller di dominio la minaccia può spingersi oltre, con la creazione di account utente dotati di privilegi amministrativi. Il risultato è la possibilità di movimenti laterali e di compromettere risorse critiche.
Cosa fare per difendersi da Goodloader
Sia gli utenti privati sia le organizzazioni devono innanzitutto ridurre la superficie d’attacco: evitare download da pagine trovate con ricerche sospette, non aprire archivi provenienti da fonti non verificate e controllare attentamente le estensioni dei file. Strumenti di protezione aggiornati, controllo delle policy per l’esecuzione di script e formazione sugli attacchi di tipo SEO poisoning sono misure essenziali. Le imprese, in particolare, dovrebbero monitorare account e privilegi sul dominio e sospendere subito eventuali attività anomale per limitare l’impatto di un’intrusione.
Potrebbe interessarti anche questo articolo: Cybertech Europe, IA e tecnologie quantistiche protagoniste nella cybersicurezza globale