Dopo circa sette mesi di silenzio, Goodloader è nuovamente in attività. Si tratta di un sofisticato malware scritto in JavaScript utilizzato dai cybercriminali come accesso iniziale ai dispositivi. Un ricercatore di sicurezza e gli esperti di Huntress hanno individuato una versione aggiornata che sfrutta nuove tecniche per evitare la rilevazione e aumentare le probabilità di successo degli attacchi.
Dal SEO poisoning al ransomware
La catena di infezione inizia con il SEO poisoning. I cybercriminali sfruttano questa tecnica per incrementare la visibilità di siti fasulli nei risultati dei motori di ricerca. Quando l’utente cerca un particolare documento e clicca sul link finisce su una pagina che contiene vari file PDF. Cliccando sul pulsante Download viene invece scaricato un archivio ZIP che contiene un file JavaScript, ovvero Goodloader.
Se l’archivio viene aperto con Esplora file, l’utente vede un normale file JavaScript. Se invece viene aperto con 7-Zip o altri tool simili, l’utente vede un file di testo. Un altro trucco per aggirare la rilevazione prevede l’uso di glifi all’interno del codice del file. Ciò permette di eludere i metodi di analisi statica che cercano determinate keyword.
Essendo un loader, Goodloader scarica successivamente altri malware, tra cui la backdoor Supper SOCKS5 che consente ai cybercriminali l’accesso remoto al dispositivo e alla rete locale. L’accesso viene anche sfruttato per installare vari tipi di ransomware, come BlackCat, Quantum Locker, Zeppelin e Rhysida.
Per ottenere la persistenza aggiunge un file .LNK nella directory di esecuzione automatica. Nelle reti con controller di dominio vengono creati nuovi utenti con diritti di amministratore. Gli utenti consumer e aziendali devono prestare molta attenzione ai siti visitati e ai documenti scaricati.
Ti potrebbe interessare
8 nov 2025