Dopo l’attacco a vari siti italiani da parte di hacker russi a seguito della visita del premier italiano Giorgia Meloni in Ucraina, si torna a parlare di sicurezza informatica a causa di una nuova emergenza segnalata dagli esperti di security digitale di Bitdefender.
Il team Advanced Threat Control di BitDefender ha scoperto infatti il nuovo malware S1deload Stealer che trae il suo nome dall’uso di tecniche di elusione del rilevamento basate sul Sideloading DLL. Il tutto inizia con campagne di ingegneria social che, via commenti sui social, invitano a scaricare archivi compressi per adulti contenenti foto di donne sexy (nello specifico i file “zip” hanno nomi tipo AlbumGirlSexy.zip, SexyGirlAlbum.zip, HDSexyGirl.zip).
Aprendo tali archivi, si ottengono 3 file. Uno è un eseguibile “exe”, l’altro è una firma digitale Western Digital valida e l’ultimo è una libreria DLL che, sotto il nome di WDSync.dll, procede a scaricare il payload malevolo, appunto in veste di S1deload Stealer. Tale malware si connette al server remoto di comando e controllo e a quel punto scaricano degli add-on.
Ad esempio, viene scaricato un browser headless a base Chrome che simula il comportamento umano per aumentare le visualizzazioni sui post di Facebook e i video di YouTube. A volte viene installato un cryptojacker, che si metterà a minare, o estrarre, la valuta digitale BEAM, mettendo sotto sforzo le risorse hardware del computer compromesso. In molti altri casi vengono esfiltrate le credenziali dei social dal database SQLite e dai cookie adibiti all’accesso sul browser e, a quel punto, si valuterà l’importanza della vittima tramite l’API Facebook Graph, per capire se l’utente colpito sia collegato a un account di amministratore aziendale, se paghi gli annunci o sia l’amministratore di un gruppo o di una pagina.
I dati vengono poi inviati al server remoto dell’hacker, che potrà avvalersene per diffondere spam o creare un ciclo di feedback artificiosi per infettare altre macchine. Gli esperti di sicurezza raccomandano, a scopo cautelativo contro attacchi del genere, di non scaricare mai file eseguibili da fonti poco noto e di tener sempre aggiornata in locale una soluzione anti-malware.