Durante un’attività OSINT, il nostro Malware Lab ha individuato un sito web sospetto che offriva il download di un file ZIP tramite un link MediaFire.
Questo file ZIP conteneva un eseguibile legittimo firmato da CISCO che, una volta eseguito, mostrava comportamenti dannosi.
All’interno del file ZIP iniziale era presente un secondo file ZIP protetto da una password fornita nel sito web.
Entrambi i file ZIP avevano nomi con caratteri speciali. Il secondo file ZIP conteneva diversi file, tra cui una DLL dannosa e un eseguibile chiamato “setup.exe”.
Sebbene “setup.exe” fosse legittimo e firmato da CISCO, eseguendolo su una piattaforma di analisi dinamica (AnyRun), sono stati osservati comportamenti dannosi.
Questo avviene perché durante l’esecuzione l’eseguibile viene infettato da una delle DLL incluse nel file ZIP, tramite una tecnica nota come side-loading DLL.
La catena di infezione coinvolge HijackLoader, un malware loader utilizzato per distribuire payload attraverso tecniche evasive. Il campione analizzato dal Malware Lab distribuisce Vidar, un malware che raccoglie credenziali da vari profili di applicazioni, dettagli bancari e informazioni su software di autenticazione a due fattori (2FA) e Tor Browser.
Questo report illustra come il side-loading DLL viene sfruttato per eseguire codice non autorizzato da un programma di installazione legittimo, evidenziando la catena di infezione che porta all’installazione di HijackLoader e Vidar.
If you wish to learn more, here is the link to our full report.
In addition, you can subscribe to the specific mailing list to receive updates on upcoming reports:
