Nel mondo della sicurezza informatica, una nuova minaccia chiamata ResolverRAT sta prendendo di mira il settore sanitario e farmaceutico attraverso campagne di phishing sofisticate e tecniche avanzate di caricamento laterale di DLL. Questo malware, secondo i ricercatori di Morphisec Labs, si avvale di esche basate sulla paura veicolate tramite email di phishing, progettate per indurre i destinatari a cliccare su un link malevolo. Una volta cliccato, il link reindirizza l'utente a scaricare e aprire un file che innesca la catena di esecuzione di ResolverRAT.

Le attività, osservate di recente, condividono infrastrutture e meccanismi di distribuzione con campagne di phishing che hanno distribuito malware rubadati come Lumma e Rhadamanthys. Un aspetto degno di nota di questa campagna è l'uso di esche di phishing localizzate, con email redatte nelle lingue parlate nei paesi bersaglio, come Hindi, Italiano, Ceco, Turco, Portoghese e Indonesiano. Questo suggerisce che l'attore della minaccia cerca di massimizzare i tassi di infezione attraverso un targeting specifico per regione.

La catena di infezione si caratterizza per l'uso della tecnica di caricamento laterale delle DLL per avviare il processo. Il primo stadio consiste in un caricatore in memoria che decritta ed esegue il payload principale, incorporando anche una serie di trucchi per passare inosservato. Una volta lanciato, il malware utilizza un sistema di autenticazione basato su certificati per stabilire un contatto con un server di comando e controllo (C2), bypassando le autorità di root della macchina.

Il ResolverRAT è dotato di capacità per eludere gli sforzi di rilevamento attraverso il pinning dei certificati, l'offuscamento del codice sorgente e modelli irregolari di beaconing al server C2. L'obiettivo ultimo del malware è elaborare i comandi emessi dal server C2 ed esfiltrare le risposte, suddividendo i dati superiori a 1 MB in blocchi da 16 KB per ridurre al minimo le possibilità di rilevamento.

La campagna non è ancora stata attribuita a un gruppo o a un paese specifico, anche se le somiglianze nei temi delle esche e l'uso del caricamento laterale di DLL con attacchi di phishing precedentemente osservati suggeriscono una possibile connessione. Questo potrebbe indicare un possibile modello di affiliazione condiviso o un'attività coordinata tra gruppi di minacce correlati.