Virus che funzionano come una bomba a grappolo, lanciando più malware in una sola campagna. Questo è in pratica ciò che è dietro l’attività di Unfurling Hemlock, un gruppo di hacker che sta conducendo negli ultimi mesi una serie di attacchi informatici caratterizzati dalla diffusione simultanea di numerosi malware. Questi attacchi, identificati dagli esperti di sicurezza di KrakenLabs, hanno compromesso centinaia di migliaia di dispositivi in tutto il mondo.
Le cluster bomb di Unfurling Hemlock
Riportano l’ANSA e Bleeping Computer, la campagna hacking di Unfurling Hemlock è stata scoperta recentemente da KrakenLabs, il team di Cyber Threat Intelligence di Outpost24. Secondo i ricercatori, questa attività è in corso almeno dal febbraio 2023 e ha portato alla distribuzione di oltre 50.000 file “cluster bomb” con davvero caratteristiche uniche.
La particolarità di questi attacchi risiede infatti nella capacità di Unfurling Hemlock di infettare un qualsiasi sistema con fino a dieci varianti di malware contemporaneamente. Non a caso, si parla di un metodo di infezione utilizzato da Unfurling Hemlock come di una “bomba a grappolo”.
Questo approccio consente di distribuire un campione di malware iniziale che, una volta eseguito, ne diffonde di ulteriori sul dispositivo compromesso. I tipi di malware rilasciati in questo modo includono stealers di informazioni, botnet e backdoor.
Come funziona l’attacco a grappolo
Gli attacchi iniziano con l’esecuzione di un file denominato ‘WEXTRACT.EXE‘, che arriva sui dispositivi bersaglio tramite email malevole o loader di malware accessibili a Unfurling Hemlock. Esso contiene file cabinet compressi nidificati, ossia con livelli che contengono ognuno diversi campioni di malware. Ogni fase di decompressione rilascia una variante di malware sul sistema della vittima. Quando si raggiunge lo stadio finale, i file estratti vengono eseguiti in ordine inverso, scatenando il caos.
Unfurling Hemlock utilizza un’ampia gamma di malware per massimizzare i suoi attacchi. Tra i malware individuati dai ricercatori di KrakenLabs ci sono Redline, RisePro, Mystic Stealer, Amadey, SmokeLoader, Enigma Packer, Healer.exe. Nonché Checker delle prestazioni e Disabilitatori di protezione.
Le analisi di KrakenLabs hanno mostrato che le fasi di attacco variano da quattro a sette, con una conseguente variazione nel numero di malware distribuiti durante ogni attacco. Più della metà degli attacchi di Unfurling Hemlock ha preso di mira diversi sistemi negli Stati Uniti. Con attività notevoli anche in Germania, Russia, Turchia, India e Canada.
Outpost24 consiglia agli utenti di scansionare i file scaricati con strumenti antivirus aggiornati prima di eseguirli, poiché tutti i malware distribuiti in questa campagna sono ben documentati e hanno firme note.
