Le autorità europee hanno recentemente annunciato l'arresto di cinque clienti del malware SmokeLoader, noto per essere una delle minacce più insidiose nel panorama della cybercriminalità. Questo risultato è stato possibile grazie a un'operazione coordinata dalle forze dell'ordine, che ha permesso di tracciare e identificare i clienti del botnet grazie ai dati acquisiti da un database sequestrato. SmokeLoader è un malware che consente ai suoi clienti di ottenere accesso non autorizzato ai computer delle vittime, utilizzato per attività illecite come keylogging, accesso alla webcam, distribuzione di ransomware e mining di criptovalute.

Operazione Endgame

La recente operazione, parte di un esercizio coordinato denominato Operazione Endgame, ha coinvolto diversi paesi tra cui il Canada, la Repubblica Ceca, la Danimarca, la Francia, la Germania, i Paesi Bassi e gli Stati Uniti, concentrandosi sul "lato della domanda" dell'ecosistema della criminalità informatica. Questa collaborazione internazionale ha portato al smantellamento di infrastrutture online associate a vari malware loader, tra cui IcedID, SystemBC, PikaBot, SmokeLoader, Bumblebee e TrickBot.

Nonostante l'arresto dei cinque individui, Europol ha sottolineato che alcuni sospetti hanno scelto di collaborare con le autorità, permettendo l'esaminazione dei loro dispositivi personali per raccogliere ulteriori prove digitali. Inoltre, è emerso che alcuni dei sospetti avevano rivenduto i servizi di SmokeLoader con un markup, aggiungendo un ulteriore livello di complessità all'indagine.

Nuove minacce di phishing

Nel contempo, Symantec, di proprietà di Broadcom, ha rivelato dettagli su una campagna di phishing che utilizza il formato di file SCR di Windows per distribuire il malware ModiLoader. Questa campagna si distingue per l'uso di tecniche avanzate come il pastejacking e il clipboard hijacking per ingannare le vittime. Inoltre, è stata segnalata l'attività di Koi Loader, un malware utilizzato per scaricare ed eseguire un ladro di informazioni noto come Koi Stealer.

La capacità dei malware moderni di evadere le analisi e le rilevazioni è stata ulteriormente evidenziata dall'uso di capacità anti-VM da parte di Koi Loader e Koi Stealer. Anche GootLoader, noto come SLOWPOUR, è riemerso, sfruttando risultati di ricerca sponsorizzati su Google per diffondersi. Questo attacco prende di mira utenti alla ricerca di modelli di accordi di non divulgazione, indirizzandoli a siti fraudolenti per scaricare documenti infetti.

Infine, è stato osservato un downloader JavaScript noto come FakeUpdates, utilizzato per ingannare gli utenti a installare malware spacciandosi per aggiornamenti legittimi del browser. Questo approccio ha distribuito anche altre famiglie di malware JavaScript come FAKESMUGGLES e FAKETREFF, sottolineando la continua evoluzione delle minacce informatiche.