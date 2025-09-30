Nel corso dell’ultimo anno e poco più, abbiamo monitorato una serie di eventi che condividevano un insieme di caratteristiche generali:

Malware che si spaccia per applicazioni software legittime le sovverte e vi si integra

Codice loader position-independent (PIC) iniettato vicino ai punti di ingresso del pacchetto, sovrascrivendo il codice originale

Payload malevoli cifrati inseriti come risorse aggiuntive

Utilizzo di un semplice algoritmo di cifratura (XOR), con una chiave statica basata su caratteri ASCII

Payload appartenenti a famiglie comuni di RAT (remote-access Trojans) o di ladri di credenziali/informazioni

Archivi protetti da password ospitati su Google Drive (in un account compromesso) e collegati tramite email

Abbiamo infine concluso che tutti questi casi erano connessi a quella che è ormai nota come l’operazione HeartCrypt packer-as-a-service (PaaS). Dopo aver pubblicato diversi articoli su indagini specifiche, in questo post approfondiamo i risultati raccolti e diamo uno sguardo al malware come un giovane parassita.

L’industria osservava

Lungo il percorso, ci sono state prove attendibili che questi attacchi potessero essere attribuiti a un unico aggressore. A un certo punto si pensava che HeartCrypt fosse un prodotto del gruppo che CrowdStrike chiama “Blind Spider”, i cui obiettivi avevano una certa sovrapposizione geografica con i casi da noi analizzati. Alla fine, però, vi erano abbastanza differenze (payload diversi, diversi meccanismi di iniezione del payload, diverse aree geografiche colpite) per concludere che questi sforzi appartenessero a più aggressori. (E non era solo Sophos a osservare, naturalmente; l’attenzione su questo PaaS è arrivata da più parti nel corso della sua diffusione, in particolare da un ottimo resoconto iniziale di CrowdStrike.)

In altre parole, il dataset accumulato di questi attacchi non è affatto trascurabile. Nel corso delle indagini di Sophos abbiamo analizzato letteralmente migliaia di campioni, individuato quasi 1000 server di comando e controllo (C2), identificato ben oltre 200 fornitori di software oggetto di furti d’identità – grandi e piccoli –, visto paesi in tutti gli emisferi colpiti, e ne abbiamo scritto. E sebbene HeartCrypt sia ormai “vecchia conoscenza” nei circoli della sicurezza informatica – gli autori di questo articolo parlano questa settimana al Virus Bulletin sui nuovi “killer EDR” emergenti, basandosi in parte su ciò che questi dati ci hanno rivelato – HeartCrypt continua a creare grattacapi in tutto il mondo. Un’occhiata agli elementi specifici può aiutare a chiarire come e perché.

