El incipiente malware conocido como SSLoad se entrega mediante un cargador previamente no documentado llamado PhantomLoader, según hallazgos de la firma de ciberseguridad Intezer.
«El cargador se agrega a una DLL legítima, generalmente productos EDR o AV, aplicando un parche binario al archivo y empleando técnicas de automodificación para evadir la detección», dijeron los investigadores de seguridad Nicole Fishbein y Ryan Robinson en un informe publicado esta semana.
SSLoad, probablemente ofrecido a otros actores de amenazas bajo un modelo de malware como servicio (MaaS) debido a sus diferentes métodos de entrega, se infiltra en los sistemas a través de correos electrónicos de phishing, realiza reconocimientos y envía tipos adicionales de malware a las víctimas.
Informes anteriores de la Unidad 42 de Palo Alto Networks y Securonix han revelado el uso de SSLoad para implementar Cobalt Strike, un software de simulación de adversario legítimo que a menudo se utiliza con fines posteriores a la explotación. El malware se ha detectado desde abril de 2024.
Las cadenas de ataques suelen implicar el uso de un instalador MSI que, cuando se inicia, inicia la secuencia de infección. Específicamente, conduce a la ejecución de PhantomLoader, una DLL de 32 bits escrita en C/C++ que se hace pasar por un módulo DLL para un software antivirus llamado 360 Total Security (» MenuEx.dll «).
El malware de primera etapa está diseñado para extraer y ejecutar la carga útil, una DLL de descarga basada en Rust que, a su vez, recupera la carga útil SSLoad principal de un servidor remoto, cuyos detalles están codificados en un canal de Telegram controlado por el actor que sirve como solucionador de caída muerta.
También escrita en Rust, la carga útil final toma las huellas digitales del sistema comprometido y envía la información en forma de cadena JSON al servidor de comando y control (C2), después de lo cual el servidor responde con un comando para descargar más malware.
«SSLoad demuestra su capacidad para realizar reconocimientos, intentar evadir la detección y desplegar más cargas útiles a través de diversos métodos y técnicas de entrega», dijeron los investigadores, y agregaron que su descifrado dinámico de cadenas y sus medidas anti-depuración «enfatizan su complejidad y adaptabilidad».
El desarrollo se produce cuando también se han observado campañas de phishing que difunden troyanos de acceso remoto como JScript RAT y Remcos RAT para permitir la operación persistente y la ejecución de comandos recibidos del servidor.
Fuente y redacción: thehackernews.com
