Netcrook Logo
👤 SECPULSE
🗓️ 16 Feb 2026   🗂️ Cyber Warfare    

Malware sotto mentite spoglie: come le tattiche offuscate di OysterLoader alimentano una nuova ondata di ransomware

Un nuovo loader furtivo sta abilitando gli attacchi ransomware Rhysida nascondendosi in piena vista - e si evolve rapidamente.

Tutto inizia con un semplice download: un amministratore di rete alla ricerca di uno strumento affidabile, uno sviluppatore che aggiorna un’applicazione. Ma dietro la facciata di un installer familiare si annida OysterLoader - un loader malware avanzato e mutaforma, ormai al centro di un’impennata globale del cybercrimine. Mentre le organizzazioni si affannano a difendersi dal ransomware, gli esperti avvertono: la minaccia più grande potrebbe nascondersi in ciò che sembra un software ordinario.

L’anatomia di un moderno malware loader

OysterLoader - noto anche come Broomstick o CleanUp - si è affermato come uno strumento cruciale per i criminali informatici, in particolare per chi distribuisce il famigerato ransomware Rhysida. La sua catena d’infezione è una lezione magistrale di elusione: un processo in quattro fasi progettato per ingannare sia gli utenti sia le difese più sofisticate.

L’attacco in genere inizia quando una vittima scarica quello che sembra un programma legittimo - come PuTTY, WinSCP o persino strumenti di IA - da un sito contraffatto. Invece di un’applicazione sicura, esegue un Microsoft Installer firmato che avvia di nascosto OysterLoader. Questo loader non si limita a rilasciare malware; si annida in profondità nel sistema, usando una raffica di finte chiamate alle API di Windows ed esecuzione solo in memoria per apparire innocuo ed evitare il rilevamento.

Una volta all’interno, OysterLoader risolve dinamicamente le funzioni di Windows tramite hashing personalizzato, aggirando le scansioni antivirus tradizionali che cercano import sospetti. La seconda fase sfrutta un algoritmo di compressione modificato, rendendo i suoi payload quasi impossibili da decomprimere con strumenti standard. Prosegue poi sondando l’ambiente - controllando le lingue di sistema, misurando i ritardi per individuare le sandbox e procedendo solo se ritiene che la situazione sia sicura.

Anche la comunicazione con i server di comando e controllo è altrettanto furtiva. Usando HTTPS camuffato con header falsi, OysterLoader recupera malware cifrato nascosto dentro file di icone dall’aspetto innocuo. I suoi payload finali - spesso consegnati come DLL malevole eseguite a intervalli programmati - possono includere ransomware, ladri di credenziali o altro malware. Ogni comunicazione è schermata da codifica personalizzata e chiavi di cifratura in continuo cambiamento, rendendo il rilevamento di rete un bersaglio mobile.

I ricercatori hanno collegato l’infrastruttura di OysterLoader al gruppo ransomware Rhysida e al più ampio ecosistema Wizard Spider. Il design modulare del loader e gli aggiornamenti frequenti suggeriscono un team di sviluppo attivo, determinato a mantenere il proprio vantaggio. Con attacchi che prendono sempre più di mira le organizzazioni che scaricano strumenti amministrativi da fonti non verificate, il rischio non fa che aumentare.

Prospettive: il loader dietro il sipario

L’ascesa di OysterLoader è un monito netto: le minacce più pericolose sono spesso quelle che si nascondono in piena vista. Mentre i criminali informatici affinano le loro tattiche, i difensori devono guardare oltre le firme malware più evidenti e scrutinare anche i download più di routine. Per ora, OysterLoader si impone come un prodigio tecnico e un avvertimento - che le aziende ignorano a proprio rischio e pericolo.

WIKICROOK

  • Loader: Un loader è un software malevolo che installa o esegue altro malware su un sistema infetto, abilitando ulteriori cyberattacchi o accessi non autorizzati.
  • Offuscamento: L’offuscamento è la pratica di camuffare codice o dati per renderli difficili da comprendere, analizzare o rilevare per gli esseri umani o per gli strumenti di sicurezza.
  • Comando: Un comando è un’istruzione inviata a un dispositivo o a un software, spesso da un server C2, che lo dirige a eseguire azioni specifiche, talvolta per scopi malevoli.
  • Steganografia: La steganografia nasconde messaggi segreti o codice all’interno di file di uso comune, come immagini o audio, rendendo difficile rilevare le informazioni nascoste.
  • Flooding delle API: Il flooding delle API sovraccarica i server con richieste dall’aspetto valido, confondendo gli strumenti di sicurezza e mascherando gli attacchi. Può causare interruzioni e nascondere azioni malevole.
OysterLoader Rhysida ransomware cybercrime
SECPULSE SECPULSE
SOC Detection Lead
← Back to news