Исследователи кибербезопасности из компании ” data-html=”true” data-original-title=”Intezer” >Intezer обнаружили новое вредоносное ПО под названием SSLoad, которое распространяется с помощью неизвестного ранее загрузчика PhantomLoader.
“Загрузчик добавляется в легитимные DLL, обычно в продукты EDR или антивирусы, посредством бинарного патчинга файла и использования методов самоизменения для обхода обнаружения”, – сообщили исследователи безопасности Николь Фишбейн и Райан Робинсон в своём отчёте, опубликованном на этой неделе.
SSLoad, вероятно, предоставляется другим киберпреступникам по модели Malware-as-a-Service (MaaS) из-за разнообразия методов доставки. Вредоносное ПО проникает в системы через фишинговые письма, проводит разведку и загружает дополнительные виды вредоносного ПО на компьютеры жертв.
Ранее исследователи из Palo Alto Networks Unit 42 и Securonix сообщали об использовании SSLoad для распространения Cobalt Strike, легитимного программного обеспечения для моделирования атак, часто используемого для постэксплуатационных целей. Вредоносное ПО активно используется как минимум с апреля 2024 года.
Атака обычно начинается с использования MSI-инсталлятора, который при запуске инициирует последовательность заражения. Конкретно, он приводит к выполнению PhantomLoader, 32-битного DLL, написанного на C/C++, который маскируется под модуль DLL для антивирусного ПО 360 Total Security (“MenuEx.dll”).
Первичная стадия вредоносного ПО предназначена для извлечения и запуска полезной нагрузки, представляющей собой загрузочную DLL на Rust, которая, в свою очередь, получает основную полезную нагрузку SSLoad с удалённого сервера. Детали этой операции закодированы в управляемом злоумышленником Telegram-канале, который служит резолвером.
Конечная полезная нагрузка, также написанная на Rust, снимает цифровой отпечаток скомпрометированной системы и отправляет информацию в виде строки JSON на командный сервер (” data-html=”true” data-original-title=”C2″ >C2), после чего сервер отвечает командой для загрузки дополнительного вредоносного ПО.
“SSLoad демонстрирует свою способность проводить разведку, пытаться избегать обнаружения и разворачивать дополнительные полезные нагрузки через различные методы и техники доставки”, – отметили исследователи. Они добавили, что динамическое дешифрование строк и меры против отладки подчёркивают сложность и адаптивность этого вредоносного ПО.
Кроме того, в рамках фишинговых кампаний также наблюдается распространение удалённых троянов, таких как JScript RAT и Remcos RAT, для обеспечения постоянного доступа и выполнения команд, полученных с сервера.