Rodící se malware známý jako SSLoad je doručován prostřednictvím dříve nezdokumentovaného zavaděče s názvem PhantomLoader, podle zjištění společnosti Intezer, která se zabývá kybernetickou bezpečností.
„Zavaděč je přidán do legitimní knihovny DLL, obvykle EDR nebo AV produktů, binárním záplatováním souboru a použitím samo identifikačních technik, aby se vyhnul detekci,“ uvedli bezpečnostní výzkumníci Nicole Fishbeinová a Ryan Robinson ve zprávě zveřejněné tento týden.
SSLoad, který je pravděpodobně nabízen dalším aktérům hrozeb v rámci modelu Malware-as-a-Service (MaaS) díky svým různým způsobům doručování, proniká do systémů prostřednictvím phishingových e-mailů, provádí průzkum a tlačí obětem další typy malwaru.
Předchozí zprávy od Palo Alto Networks Unit 42 a Securonix odhalily použití SSLoad k nasazení Cobalt Strike, legitimního softwaru, který se často používá pro účely po zneužití. Malware byl detekován od dubna 2024.
Řetězce útoků obvykle zahrnují použití instalačního programu MSI, který po spuštění iniciuje infekční sekvenci. Konkrétně to vede ke spuštění PhantomLoaderu, 32bitové knihovny DLL napsané v C/C++, která se maskuje jako modul DLL pro antivirový software s názvem 360 Total Security (MenuEx.dll).
Datová část, která je také napsána v Rustu, otiskne kompromitovaný systém a odešle informace ve formě řetězce JSON na server příkazů a řízení (C2), načež server odpoví příkazem ke stažení dalšího malwaru.
„SSLoad demonstruje svou schopnost shromažďovat informace, pokoušet se vyhnout detekci a nasazovat další nežádoucí software prostřednictvím různých doručovacích metod a technik,“ uvedli výzkumníci a dodali, že jeho dynamické dešifrování řetězců a opatření proti ladění „zdůrazňují jeho složitost a přizpůsobivost.“
Tento vývoj přichází v době, kdy byly pozorovány phishingové kampaně, které šíří trojské koně pro vzdálený přístup, jako jsou JScript RAT a Remcos RAT, aby umožnily trvalý provoz a provádění příkazů přijatých ze serveru.
Zdroj: thehackernews.com
Zdroj: IT SECURITY NETWORK NEWS
