Una campagna malware attiva sta sfruttando una tecnica nota come DLL side loading per aggirare i controlli di sicurezza e distribuire diversi tipi di malware su sistemi Windows. Il punto chiave è che gli attaccanti affiancano una DLL malevola chiamata libcares-2.dll a un eseguibile legittimo e firmato digitalmente, ahost.exe, in modo che il programma carichi la libreria sbagliata e avvii codice dannoso senza destare sospetti. Questa strategia è particolarmente efficace contro le difese basate su firme, perché il file eseguibile appare affidabile e spesso viene anche rinominato per adattarsi al contesto della truffa.
Il meccanismo si basa sull’ordine di ricerca delle DLL in Windows. Se una libreria con lo stesso nome viene posizionata nella stessa cartella dell’applicazione vulnerabile, il sistema può caricarla prima della versione legittima. In questo scenario, il binario utilizzato risulta collegato alla libreria open source c-ares e viene comunemente distribuito come parte dell’applicazione desktop GitKraken. Il fatto che ahost.exe sia firmato facilita ulteriormente l’evasione, perché molte soluzioni di sicurezza attribuiscono maggiore fiducia ai file firmati.
La campagna è stata osservata mentre distribuisce malware molto diffusi nel cybercrime, tra cui trojan e infostealer come Agent Tesla, CryptBot, Formbook, Lumma Stealer e Vidar Stealer, oltre a remote access trojan come Remcos RAT, Quasar RAT, DCRat e XWorm. Questo indica un modello multi attore o un ecosistema in cui lo stesso vettore di infezione viene riutilizzato per carichi diversi, massimizzando i profitti e adattandosi agli obiettivi.
Le vittime prese di mira includono dipendenti con ruoli in finanza, procurement, supply chain e amministrazione, soprattutto in settori commerciali e industriali come oil and gas e import-export. Le esche usate per convincere l’utente ad avviare il file sono spesso a tema fatture, ordini e richieste di preventivo, con nomi che simulano PDF ma in realtà terminano con estensioni eseguibili. La presenza di contenuti in più lingue, tra cui arabo, spagnolo, portoghese, farsi e inglese, suggerisce una selezione geografica e operativa mirata.