LegionLoader: rilevata nuova campagna di distribuzione malware

Segnalata una nuova campagna di distribuzione del malware LegionLoader, noto anche come Satacom, CurlyGate e RobotDropper. Questo malware è un downloader sofisticato che sta guadagnando terreno, con oltre 2.000 nuovi campioni identificati in poche settimane.

LegionLoader si diffonde principalmente attraverso drive-by downloads, utilizzando siti web compromessi e piattaforme di download illegali. Gli utenti vengono ingannati per scaricare software dannoso da questi siti.

Il malware utilizza meccanismi anti-sandbox, come un falso prompt CAPTCHA e la rilevazione dell'ambiente virtuale, per evitare l'analisi automatizzata.

Una volta eseguito, LegionLoader estrae diversi file, tra cui un archivio password-protetto, e carica un payload DLL chiamato obs.dll. Questo payload è progettato per evitare la rilevazione e contiene codice apparentemente nonsensico per confondere gli analisti.

La seconda fase dell'infezione coinvolge la comunicazione con server di comando e controllo (C2), ma al momento dell'analisi, questi server erano inattivi, limitando ulteriori indagini.

LegionLoader è noto per distribuire info-stealers come Vidar, Predator the Thief e Raccoon Stealer, nonché crypto-stealers, crypto-miners e backdoors.

L'infezione può portare a furto di informazioni sensibili, identità, problemi di privacy e l'aggiunta del computer a una botnet.

Per mitigare i rischi, è consigliabile evitare di scaricare software da fonti non attendibili e implementare meccanismi di rilevamento basati sul comportamento.

Fonti: CSIRT Italia, Tethris, DeepInstinct, Securityonline