Il caricatore IDAT colpisce obiettivi ucraini in Finlandia

Entità ucraine situate in Finlandia sono state vittime di una campagna dannosa che prevede la distribuzione di un trojan commerciale di accesso remoto noto come Remcos RAT. Questa campagna utilizza un caricatore di malware denominato IDAT Loader. L'autore della minaccia responsabile, identificato dal Computer Emergency Response Team of Ukraine (CERT-UA) come UAC-0184, è stato collegato all'attacco.

Il ricercatore di Morphisec Michael Dereviashkin, in un rapporto condiviso con The Hacker News, ha evidenziato che l'attacco, un componente dell'IDAT Loader, utilizza la steganografia come tecnica. Sebbene le tecniche steganografiche, comunemente note come “Stego”, siano familiari, comprendere il loro ruolo nell’evasione della difesa è fondamentale per sviluppare difese efficaci contro tali tattiche.

IDAT Loader condivide il DNA con il malware Hijack Loader

IDAT Loader, che condivide somiglianze con un'altra famiglia di caricatori chiamata Hijack Loader, è stato impiegato per fornire vari payload, tra cui DanaBot, SystemBC e RedLine Stealer negli ultimi mesi. Inoltre, il caricatore è stato utilizzato da un attore di minacce noto come TA544 per diffondere Remcos RAT e SystemBC attraverso attacchi di phishing.

La campagna di phishing, inizialmente resa pubblica dal CERT-UA all'inizio di gennaio 2024, prevede l'uso di esche a tema bellico per avviare una catena di infezione. Questa catena porta infine alla distribuzione di IDAT Loader, che utilizza quindi un PNG steganografico incorporato per individuare ed estrarre Remcos RAT.

In uno sviluppo correlato, CERT-UA ha rivelato che le forze di difesa del paese sono state prese di mira tramite l’app di messaggistica istantanea Signal. In questo scenario gli aggressori distribuiscono un documento Microsoft Excel contenente trappole esplosive, eseguendo COOKBOX, un malware basato su PowerShell in grado di caricare ed eseguire cmdlet. Questa attività è stata attribuita a un cluster denominato UAC-0149.