Si chiama Olymp Loader il nuovo Malware-as-a-Service con moduli basati su Assembly, tecniche di evasione avanzate, funzionalità integrate di stealer e un’attenzione particolare alla semplicità d’uso: l’ideale per attaccanti con bassa preparazione tecnica, in cerca di strumenti chiavi in ​​mano. Il nome circola dall’inizio di giugno, quando un team di tre programmatori esperti che si è auto battezzato OLYMPO hanno iniziato a pubblicizzare il servizio su forum underground e Telegram. Stando a quanto pubblicato dal team di threat intelligence di Outpost24, il progetto nasce come evoluzione della botnet Olymp Botnet, per trasformarsi rapidamente un loader dedicato, focalizzandosi oggi sulle funzionalità crypter. La svolta è stata in agosto, quando sono stati depennati il pannello di comando e controllo centralizzato e le funzioni di botnet, a seguito del forfait dello sviluppatore web dal team.

La roadmap ufficiale prevede la costruzione di un vero e proprio crimeware bundle: generatore di stager, botnet, loader, scanner di file e crypter, tutti in una unica suite modulare, progettata per accelerare i rilasci e aumentare la velocità di adozione. Stando a quanto ricostruito da Outpost24, la vendita viene gestita direttamente da OLYMPO, che gode di ottima reputazione in vari forum del cybercrime. A differenza di altri MaaS, OLYMPO ha adottato una strategia pubblicitaria piuttosto audace: carica campioni su VirusTotal con il ripetuto slogan FUD (Fully UnDetectable). Inoltre, pubblica contenuti tecnici in forum russi di alto livello, come XSS.

L’analisi dei canali Telegram ha rivelato che la base clienti si attesta al momento attorno ai cento iscritti attivi. Sono frequenti le richieste di feature personalizzate. L’offerta commerciale prevede tre livelli: base con un prezzo di 50 dollari, che include un modulo per la rimozione di Defender, la firma automatica dei certificati e la garanzia di bassi tassi di detection su VirusTotal. Chi paga 100 dollari può avere in più la personalizzazione dello shellcode, mentre chi è disposto a pagare un abbonamento di 200 dollari avrà, oltre allo shellcode personalizzato, injection in binari legittimi a propria scelta.

Dal punto di vista tecnico, Olymp Loader è scritto interamente in Assembly, il linguaggio di programmazione che funziona su logiche di basso livello, senza dipendenze da framework esterni, e può manipolare direttamente la memoria, i processi e l’esecuzione. Questa particolarità favorisce l’implementazione di tecniche di evasione e offuscamento molto avanzate e rende il loader invisibile agli strumenti di sicurezza tradizionali e alle analisi forensi.

Il loader supporta malware nativi, payload a 32 e 64 bit, .NET e Java; ha un ingombro che varia da 12 a 70 megabyte, a seconda del programma legittimo scelto per l’iniezione. Lo shellcode può essere inizializzato e modificato, aggiungendo o togliendo funzionalità a richiesta.

La roadmap di sviluppo

La persistenza viene gestita sia tramite esecuzione automatica sia tramite tecniche molto aggressive di escalation dei privilegi basate su UAC-Flood e sull’abuso delle esclusioni di Windows Defender. Particolarmente interessante la capacità del loader di firmare tutti i moduli e gli stub tramite certificati reali e di offuscare i payload mediante cifratura XOR. Inoltre, l’elusione della detection è sviluppata sulla base di una formula proprietaria costruita per aggirare i meccanismi di machine-learning e l’analisi AV euristica.

Di grande interesse è il meccanismo LoadPE (x86), che serve per garantire compatibilità con stealer noti come per esempio LummaC2, StealC e altri RAT, mediante una tecnica di code-cave injection in programmi legittimi. Queste strategie accentuano la capacità di Olymp Loader di operare indisturbato, mimetizzandosi perfettamente sia a livello di file system sia tramite tecniche di brand impersonation e spoofing di certificati. Manca il passaggio distributivo, operato tramite asset GitHub camuffati, che impersonano software popolari, sfruttando canali PPI come Amadey.

Sono significativi anche i dati sulla fase post-infezione. Il 46% dei payload lanciati dopo l’accesso iniziale è costituito dal noto infostealer LummaC2; il 31% fa capo a WebRAT, anche noto come SalatStealer; il 15% a QasarRAT; e l’8% a Raccoon Stealer. I clienti hanno anche la possibilità di utilizzare moduli stealer nativi integrati, come per esempio un browser stealer (derivato da progetti open-source e compilato in Python), un Telegram stealer e uno stealer di credenziali per i portafogli di criptovalute, che prende di mira Exodus, Electrum, Atomic, Guarda, Wasabi, Monero, BitcoinCore e ZelCore, archiviando sia le sessioni sia gli screenshot ottenuti prima della trasmissione via proxy. Spetta all’attaccante scegliere quale modulo attivare tramite pannello e API, che permettono inoltre di gestire proxy personalizzati, scaricare log e monitorare le sessioni dagli endpoint controllati.

La telemetria di Outpost24 evidenzia una vivace attività di sviluppo e testing, con continui caricamenti di sample su VirusTotal che evidenziano un’evoluzione rapida, con frequenti modifiche alle tecniche per ottenere la persistenza, l’escalation e il bypass delle difese. Tutte le varianti più recenti del loader puntano a copiare il binario in percorsi quali per esempio %AppData%, %Pictures% o %StartUp%, a manipolare le voci di registro e a implementare script BAT/Powershell per massimizzare la persistenza.