Iscriviti al webinar gratuito del 28 Aprile per diventare Ethical Hacker! Scopri di più
LOTUSLITE colpisce le banche indiane: nuova backdoor spia via CHM e DLL side-loading, C2 HTTPS invisibile
I ricercatori di cybersecurity hanno individuato una nuova variante del malware LOTUSLITE, un backdoor associato a campagne di cyber espionage, che in questa ondata viene distribuito con un tema legato al settore bancario in India. La minaccia si distingue per un set di funzioni tipiche dello spionaggio informatico e non di frodi finanziarie, includendo accesso remoto tramite shell, operazioni sui file e gestione delle sessioni.
La comunicazione con l’infrastruttura di comando e controllo avviene via HTTPS e sfrutta servizi di DNS dinamico, una scelta comune per rendere più resiliente la catena di controllo e ridurre l’impatto di blocchi puntuali.
Questa versione aggiornata mostra miglioramenti incrementali rispetto a campioni precedenti, un segnale chiaro che gli operatori continuano a mantenere e affinare LOTUSLITE nel tempo. Cambia soprattutto il focus geografico e settoriale: invece di esche geopolitiche rivolte ad ambienti governativi, l’attenzione si sposta sulle banche indiane, pur mantenendo gran parte del playbook operativo.
Catena di infezione (file CHM)
La catena di infezione parte da un file CHM, cioè un Compiled HTML, usato come contenitore per più componenti. All’interno sono presenti un eseguibile legittimo e una DLL malevola, oltre a una pagina HTML che mostra un popup e induce la vittima a cliccare su Yes. Questo passaggio abilita il recupero silenzioso di uno script JavaScript da un server remoto, con il compito principale di estrarre ed eseguire i payload inclusi nel CHM.
Tecnica chiave: DLL side loading
Un elemento tecnico centrale è il DLL side loading, tecnica che consente di caricare una libreria malevola sfruttando un eseguibile valido e quindi più credibile agli occhi di alcuni controlli. La DLL aggiornata di LOTUSLITE contatta poi un dominio dedicato per ricevere comandi ed esfiltrare dati ritenuti di interesse dagli attaccanti.
Ampliamento del targeting
In parallelo, l’analisi ha evidenziato artefatti simili usati per colpire anche organizzazioni e individui in Corea del Sud, in particolare ambienti diplomatici e di policy legati agli affari della penisola coreana, alle discussioni su Corea del Nord e ai dialoghi di sicurezza Indo Pacifico. Il quadro complessivo indica un ampliamento del targeting, con esche che vanno da riferimenti a software bancario fino a impersonificazioni e staging tramite servizi cloud.