Nonostante i loader malware siano uno strumento molto diffuso tra i cybercriminali, a quanto pare, sono pochi quelli utilizzati in modo massiccio. Questo è quanto emerge da una ricerca portata avanti da ReliaQuest che ha preso in esame dati raccolti dal 1 gennaio al 31 luglio 2023.
Dal report, è possibile notare come QakBot è il loader più diffuso al mondo, avendo partecipato al 30% degli attacchi analizzati. Seguono, a poca distanza, SocGholish (con il 27% di rilevamenti) e Raspberry Robin (con il 23%).
Secondo i ricercatori di ReliaQuest “QakBot è una minaccia persistente e in evoluzione utilizzata per colpire opportunisticamente qualsiasi settore o regione. I loro operatori sono capaci e pieni di risorse nell’adattarsi al cambiamento, ed è probabile che rimarranno qui per il prossimo futuro“.
Attivo dal 2009, QakBot (noto anche come QBot o Quakbot) era inizialmente un trojan bancario ma in seguito si è evoluto divenendo un loader malware in grado di distribuire ulteriori agenti malevoli, rubare informazioni sensibili e svolgere altre azioni.
Solitamente inviato tramite e-mail di phishing, QakBot è stato associato al gruppo ransomware BlackBasta, composto da ex membri della banda di ransomware Conti.
Qakbot, SocGholish e Raspberry Robin: da soli costituiscono il grosso delle attività dei loader di malware
Non meno temibili sono di sicuro gli altri loader.
SocGholish, noto anche come FakeUpdates, è attivo dal 2018 e viene distribuito tramite download drive-by, utilizzando un’ampia rete di siti Web compromessi che offrono aggiornamenti falsi alle vittime. Il loader in questione è stato collegato al gruppo criminale informatico noto come Evil Corp, con sede in Russia, attivo almeno dal 2007.
Il terzo nome della lista, ovvero Raspeberry Robin, è il più giovane dei tre loader malware. Si tratta di un worm attivo in ambiente Windows, individuato per la prima volta nel 2021. Questo si diffonde in genere tramite dispositivi rimovibili, come unità USB, ed è stato collegato a vari autori di minacce, tra cui i già citati Evil Corp e Silence.
È stato osservato che Raspberry Robin distribuisce un’ampia gamma di ransomware e famiglie di malware, tra cui Cl0p, LockBit, TrueBot e non solo.
Oltre a questi tre caricatori, anche Gootloader, Chromeloader, Guloader e Ursnif (seppur con un’incidenza nettamente minore a livello di percentuali) sono stati molto attivi durante i primi sette mesi dell’anno.