Dietro la maschera: il malware SLOTAGENT inganna gli analisti con un’offuscazione di livello superiore

Tutto è iniziato con un campione di malware di routine: un eseguibile anonimo sepolto in un file ZIP. Ma, man mano che i ricercatori di cybersecurity scavavano più a fondo, si sono resi conto che non avevano davanti l’ennesimo Remote Access Trojan (RAT) qualunque. Si erano imbattuti in SLOTAGENT, una variante di malware così accuratamente camuffata da lasciare perplessi persino analisti esperti. Ora è partita la corsa a decifrare i segreti di SLOTAGENT prima che si diffonda ulteriormente nelle reti aziendali e governative.

Fatti rapidi

• SLOTAGENT è un Remote Access Trojan (RAT) scoperto di recente, con capacità avanzate di anti-forensics.
• Esegue payload Beacon Object File, tecniche prese in prestito da toolkit di hacking professionali come Cobalt Strike.
• Algoritmi di hashing e cifratura personalizzati nascondono quasi tutti i comandi e le stringhe interne agli strumenti di analisi standard.
• Il malware comunica con gli attaccanti tramite un IP hardcoded e un protocollo pseudo-HTTP usando dati JSON in chiaro.
• I ricercatori di sicurezza hanno rilasciato uno script specializzato per aiutare i difensori a decifrare le stringhe nascoste di SLOTAGENT.

L’anatomia di una minaccia fantasma

La catena d’infezione di SLOTAGENT è una lezione magistrale di inganno. L’attacco prende il via quando una vittima ignara avvia quello che sembra un programma innocuo - WindowsOobeAppHost.AOT.exe - da un archivio ZIP. Questo attiva un loader nascosto in una DLL di accompagnamento, che poi risolve in modo furtivo le principali funzioni delle API di Windows usando un algoritmo di hashing personalizzato. Questo approccio, che combina operazioni XOR e ROR11, rende quasi impossibile agli strumenti di analisi statica ricostruire le intenzioni del malware.

Una volta annidato, SLOTAGENT stabilisce un canale covert verso il suo server di command-and-control all’indirizzo IP hardcoded 43.156.59.110, comunicando sulla porta TCP 699. Il malware inoltra un’impronta dettagliata dell’host infetto - nomi utente, indirizzi IP, ID hardware e altro - usando un protocollo pseudo-HTTP personalizzato avvolto attorno a JSON in chiaro. Questi dati forniscono agli attaccanti una mappa completa del nuovo punto d’appoggio, il tutto restando sotto il radar.

Ma ciò che distingue davvero SLOTAGENT è la sua attenzione incessante all’offuscazione. Internamente, si affida a un algoritmo di hashing basato su DJB2 per mascherare le chiamate alle API, mentre quasi ogni comando o stringa di testo è cifrata con una variante del Tiny Encryption Algorithm. Queste stringhe vengono decifrate solo in memoria, rendendo l’ingegneria inversa tradizionale quasi inutile. Per i team di incident response, questo significa che anche se riescono a ottenere un campione, gli indizi vitali restano avvolti in una nebbia digitale - a meno di disporre degli strumenti di decifrazione giusti.

Per contribuire a riequilibrare il campo di gioco, gli analisti di sicurezza hanno pubblicato uno script IDAPython personalizzato, decrypt_slotagent_string.py, che consente ai difensori di decifrare staticamente le stringhe interne di SLOTAGENT. Sebbene sia un passo avanti, è chiaro che i creatori di SLOTAGENT hanno fissato un nuovo standard per la furtività dei malware, prendendo in prestito tecniche dal red teaming professionale e trasformandole in un’arma per il profitto criminale.

Conclusione

L’emergere di SLOTAGENT sottolinea una realtà inquietante: i confini tra gli strumenti di hacking commerciali e il malware criminale stanno svanendo. Man mano che gli attaccanti adottano tattiche di offuscazione sempre più avanzate, la comunità della sicurezza deve correre per tenere il passo - sviluppando nuovi metodi di analisi e condividendo conoscenza più velocemente di quanto gli avversari riescano ad adattarsi. Per ora, SLOTAGENT rappresenta un monito netto: nel gioco del gatto e del topo della difesa cyber, i topi stanno diventando più intelligenti.

TECHCROOK

Bitdefender Total Security è una suite di protezione endpoint pensata per contrastare minacce come RAT e loader offuscati, combinando rilevamento comportamentale, analisi euristica e protezione in tempo reale contro esecuzioni sospette da archivi ZIP, DLL malevole e attività anomale di processo. Integra moduli anti-exploit e anti-ransomware, controllo delle connessioni di rete e funzioni di remediation per ridurre l’impatto di comunicazioni verso server di command-and-control. La gestione è semplice, con aggiornamenti automatici delle firme e delle regole di rilevamento, utile quando il malware cifra stringhe e risolve API in modo dinamico per eludere l’analisi statica. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.

WIKICROOK

• Remote Access Trojan (RAT): Un Remote Access Trojan (RAT) è un malware che consente agli attaccanti di controllare segretamente il computer della vittima da qualsiasi luogo, permettendo furto e spionaggio.
• Offuscazione: L’offuscazione è la pratica di camuffare codice o dati per renderli difficili da comprendere, analizzare o rilevare per gli esseri umani o per gli strumenti di sicurezza.
• Beacon Object File: Un beacon object file è un formato di payload per eseguire in modo furtivo codice in memoria, spesso usato in Cobalt Strike durante penetration test o operazioni di red team.
• API Hashing: L’API hashing nasconde le chiamate di sistema di Windows sostituendo i loro nomi con hash codificati, rendendo più difficile per gli strumenti di sicurezza rilevare attività malevole.
• Timestomping: Il timestomping è la manipolazione dei timestamp dei file per nascondere modifiche non autorizzate, aiutando gli attaccanti a eludere il rilevamento durante le indagini di cybersecurity.