I ricercatori della sicurezza informatica hanno scoperto un nuovo, sofisticato Trojan advert accesso remoto chiamato Resolverrat che è stato osservato negli attacchi mirati ai settori sanitari e farmaceutici.
“L’attore della minaccia sfrutta le esche basate dalla paura consegnate tramite e-mail di phishing, progettate per fare pressione sui destinatari nel fare clic su un hyperlink dannoso”, il ricercatore di Morphisec Labs Nadav Lorber disse In un rapporto condiviso con le notizie di Hacker. “Una volta accessibile, il collegamento indirizza l’utente a scaricare e aprire un file che innesca la catena di esecuzione Resolverrat.”
L’attività, osservata di recente dal 10 marzo 2025, condivide l’infrastruttura e il meccanismo di consegna si sovrappongono a campagne di phishing che hanno fornito malware per il furto di informazioni come Lumma e Rhadamanthys, come documentato da Cisco Talos E Punto di controllo L’anno scorso.
Un aspetto notevole della campagna è l’uso di esche di phishing localizzate, con le e -mail realizzate nelle lingue prevalentemente parlate nei paesi mirati. Ciò embrace hindi, italiano, ceco, turco, portoghese e indonesiano, che indica i tentativi dell’attore delle minacce di lanciare una rete ampia attraverso il focusing on specifico della regione e massimizzare i tassi di infezione.
Il contenuto testuale nei messaggi di posta elettronica impiega temi relativi alle indagini legali o alle violazioni del copyright che cercano di indurre un falso senso di urgenza e aumentare la probabilità di interazione degli utenti.
La catena di infezione è caratterizzata dall’uso della tecnica di caricamento laterale DLL per avviare il processo. La prima fase è un caricatore in memoria che decrittica ed esegue il carico utile principale, incorporando anche una serie di trucchi per volare sotto il radar. Non solo il payload Resolverrat utilizza la crittografia e la compressione, ma esiste anche solo in memoria una volta decodificato.
“La sequenza di inizializzazione del Resolverrat rivela un sofisticato processo di bootstrapping multi-stage progettato per la furtività e la resilienza”, ha detto Lorber, aggiungendolo “implementa più metodi di persistenza ridondante” per mezzo del registro di Home windows e del file system installandosi in diversi luoghi come meccanismo di fallback.
Una volta lanciato, il malware utilizza un’autenticazione basata su certificati su misura prima di stabilire il contatto con un server di comando e controllo (C2) in modo story da aggirare le autorità radicali della macchina. Implementa inoltre un sistema di rotazione IP per connettersi a un server C2 alternativo se il server C2 primario diventa non disponibile o viene rimosso.
Inoltre, Resolverrat è dotato di capacità per eludere gli sforzi di rilevamento attraverso il pinning del certificato, l’offuscamento del codice sorgente e i modelli di beaconing irregolari al server C2.
“Questa avanzata infrastruttura C2 dimostra le capacità avanzate dell’attore delle minacce, combinando comunicazioni sicure, meccanismi di fallback e tecniche di evasione progettate per mantenere l’accesso persistente mentre elude il rilevamento da parte dei sistemi di monitoraggio della sicurezza”, ha affermato Morphisec.
L’obiettivo finale del malware è quello di elaborare i comandi emessi dal server C2 ed exfiltrate le risposte, rompendo i dati di 1 MB di dimensioni in blocchi da 16 kb in modo da ridurre al minimo le possibilità di rilevamento.
La campagna deve ancora essere attribuita a un gruppo o paese specifico, sebbene le somiglianze nei temi di attivazione e l’uso del caricamento laterale della DLL con attacchi di phishing precedentemente osservati alludono a una possibile connessione.
“L’allineamento (…) indica una possibile sovrapposizione dell’infrastruttura dell’attore di minaccia o dei playbook operativi, indicando potenzialmente un modello di affiliazione condiviso o un’attività coordinata tra i gruppi di minacce correlate”, ha affermato la società.
Lo sviluppo arriva mentre Cyfirma ha dettagliato un altro ratto Neptune Trojan Entry Distant Entry che utilizza un approccio modulare basato su plug-in per rubare informazioni, mantenere la persistenza sull’host, richiedere un riscatto di $ 500 e persino sovrascrivere il file di avvio grasp (MBR) per interrompere il normale funzionamento del sistema Home windows.
Viene propagato liberamente tramite GitHub, Telegram e YouTube. Detto questo, il profilo GitHub associato al malware, chiamato Masongroup (aka freemasonry), non è più accessibile.
“Nettuno Rat incorpora tecniche avanzate anti-analisi e metodi di persistenza per mantenere la sua presenza sul sistema della vittima per lunghi periodi e viene ricca di caratteristiche pericolose”, l’azienda notato In un’analisi pubblicata la scorsa settimana.
Embody un “Cripto Clipper, Password Stealer con funzionalità per esfiltrarsi oltre 270+ credenziali di numerous applicazioni, funzionalità di ransomware e monitoraggio del desktop reside, rendendolo una minaccia estremamente seria”.
