Gli esperti di cybersecurity hanno individuato una nuova campagna che sfrutta versioni crackate di software per distribuire malware come Lumma e ACR Stealer. L'AhnLab Security Intelligence Center (ASEC) ha osservato un aumento significativo nella distribuzione di ACR Stealer dall'inizio del 2025. Una caratteristica distintiva di questo malware è l'utilizzo di un metodo noto come dead drop resolver per individuare il server di comando e controllo (C2) effettivo. Questo processo si avvale di servizi legittimi come Steam, Telegraph di Telegram, Google Forms e Google Slides, dove gli attori delle minacce inseriscono il dominio C2 codificato in Base64 su una pagina specifica. Il malware accede a questa pagina, analizza la stringa e ottiene l'indirizzo del dominio C2 per eseguire azioni malevole.

Il malware ACR Stealer, precedentemente diffuso tramite Hijack Loader, è in grado di raccogliere una vasta gamma di informazioni dai sistemi compromessi, tra cui file, dati del browser web ed estensioni di portafogli di criptovalute. ASEC ha anche scoperto un'altra campagna che utilizza file con estensione "MSC", eseguibili tramite Microsoft Management Console (MMC), per distribuire il malware Rhadamanthys Stealer. Esistono due varianti di malware MSC: una sfrutta la vulnerabilità di apds.dll (CVE-2024-43572) e l'altra esegue il comando 'command' utilizzando Console Taskpad. Il file MSC appare come un documento Word, e cliccando su 'Apri', viene scaricato ed eseguito uno script PowerShell da una fonte esterna, contenente un file EXE (Rhadamanthys).

La vulnerabilità CVE-2024-43572

La vulnerabilità CVE-2024-43572, nota anche come GrimResource, è stata inizialmente documentata da Elastic Security Labs nel giugno 2024 come una zero-day sfruttata da attori malevoli e successivamente corretta da Microsoft nell'ottobre 2024. Inoltre, sono state osservate campagne malware che sfruttano piattaforme di supporto chat come Zendesk, spacciandosi per clienti per indurre i tecnici di supporto a scaricare un malware chiamato Zhong Stealer.

Un recente rapporto di Hudson Rock ha rivelato che oltre 30 milioni di computer sono stati infettati da malware di tipo stealer negli ultimi anni, portando al furto di credenziali aziendali e cookie di sessione, venduti nei forum underground a fini di profitto. Gli acquirenti potrebbero sfruttare l'accesso fornito da queste credenziali per azioni post-exploit, con gravi rischi per la sicurezza. Questi sviluppi sottolineano il ruolo del malware stealer come vettore di accesso iniziale che fornisce un punto d'appoggio in ambienti aziendali sensibili.

Negli ultimi mesi, gli attori delle minacce hanno intensificato gli sforzi per diffondere varie famiglie di malware, tra cui stealer e trojan di accesso remoto (RAT), tramite una tecnica chiamata ClickFix. Questa tecnica spesso reindirizza gli utenti a pagine di verifica CAPTCHA false, invitandoli a copiare ed eseguire comandi PowerShell dannosi. Uno dei payload distribuiti è I2PRAT, che utilizza la rete di anonimizzazione I2P per occultare il server C2 finale. Sekoia ha dichiarato che "il malware è una minaccia avanzata composta da più livelli, ciascuno dei quali incorpora meccanismi sofisticati". L'uso di una rete di anonimizzazione complica il tracciamento e ostacola l'identificazione della portata e diffusione della minaccia.