Sommario
Il malware noto come SquidLoader è un nuovo tipo di loader altamente evasivo, recentemente scoperto da LevelBlue Labs. Questo malware viene distribuito attraverso allegati di phishing e ha l’obiettivo di caricare un secondo stadio di payload malware sui sistemi delle vittime. SquidLoader utilizza diverse tecniche avanzate per evitare l’analisi e la rilevazione, rendendolo una minaccia significativa per le organizzazioni cinesi.
Analisi del Loader
Il malware SquidLoader è stato osservato per la prima volta in campagne di phishing a fine aprile 2024. I campioni recuperati erano associati a nomi di file descrittivi relativi a prodotti di aziende cinesi come China Mobile Group, Jiaqi Intelligent Technology e Yellow River Conservancy Technical Institute. Questi file, pur apparendo come documenti Word, erano in realtà eseguibili binari.
Caratteristiche Tecniche
| Caratteristica | Dettagli |
|---|---|
| Tecniche di Evasione | Caricamento di payload tramite richieste GET HTTPS, utilizzo di certificati scaduti, codifica XOR |
| Payload Secondario | Cobalt Strike, un noto strumento di simulazione per attacchi avanzati |
| Certificati | Utilizzo di certificati scaduti per evitare sospetti |
| C&C Server | Impiego di certificati autofirmati con dettagli come “localhost” e “Nanjing” |
SquidLoader duplica se stesso in una posizione predefinita, come C:\\BakFiles\\install.exe, e si riavvia da lì, un tentativo di eseguire il loader con un nome non sospetto. Inoltre, il malware evita di scrivere il payload sul disco, caricandolo direttamente in memoria per ridurre il rischio di rilevamento.
Tecniche di Evasione
SquidLoader impiega diverse tecniche di evasione per evitare l’analisi:
- Istruzioni Inutili o Oscure: Uso di istruzioni x86 inutili o rare, come “pause” e “mfence”, per confondere gli antivirus.
- Sezioni di Codice Cifrate: Decifrazione del codice in memoria con una chiave XOR a 5 byte.
- Stringhe Cripate nello Stack: Le stringhe sensibili sono cifrate e memorizzate nello stack per essere decifrate solo quando necessario.
- Obfuscazione del Grafo di Controllo (CFG): Flattening del CFG in loop infiniti con istruzioni switch, rendendo difficile l’analisi statica.
- Rilevamento del Debugger: Il malware si chiude se rileva la presenza di un debugger, modificando anche le funzioni API per evitare il traffico di rete.
Payload Secondario
Durante l’analisi, il payload secondario identificato era una versione modificata di Cobalt Strike, configurata per assomigliare al traffico di Kubernetes e per evitare l’analisi statica.
Metodi di Rilevazione
Per rilevare SquidLoader, LevelBlue Labs ha sviluppato firme IDS per SURICATA, che possono essere utilizzate per rilevare le richieste HTTP specifiche effettuate dal malware.
SquidLoader rappresenta una minaccia significativa per le organizzazioni, secondo LevelBlue, grazie alle sue avanzate tecniche di evasione e alla capacità di caricare payload potenti come Cobalt Strike. Questo malware è particolarmente preoccupante per le organizzazioni cinesi, ma le sue tecniche possono essere adottate da altri attori per colpire un pubblico più ampio.
