O malware emergente conhecido como SSLoad está sendo distribuído por meio de um loader anteriormente não documentado chamado PhantomLoader, de acordo com descobertas da empresa de cibersegurança Intezer.
"O loader é adicionado a uma legítima DLL, geralmente de produtos EDR ou AV, por meio de patching binário do arquivo e empregando técnicas de auto-modificação para evadir detecção", disseram os pesquisadores de segurança Nicole Fishbein e Ryan Robinson em um relatório publicado nesta semana.
SSLoad, provavelmente oferecido a outros atores de ameaças sob um modelo de Malware como Serviço (MaaS) devido aos seus diferentes métodos de entrega, infiltra sistemas por meio de emails de phishing, realiza reconhecimento e insere tipos adicionais de malware nos alvos.
Relatos anteriores da Palo Alto Networks Unit 42 e da Securonix revelaram o uso de SSLoad para implantar Cobalt Strike, um software legítimo de simulação de adversários frequentemente utilizado para fins de pós-exploração.
O malware foi detectado desde abril de 2024.
As cadeias de ataque normalmente envolvem o uso de um instalador MSI que, quando iniciado, inicia a sequência de infecção.
Especificamente, isso leva à execução do PhantomLoader, uma DLL de 32 bits escrita em C/C++ que se disfarça como um módulo DLL para um software antivírus chamado 360 Total Security ("MenuEx.dll").
O malware de primeira fase é projetado para extrair e executar o payload, uma DLL baseada em Rust que, por sua vez, recupera o payload principal do SSLoad de um servidor remoto, cujos detalhes estão codificados em um canal do Telegram controlado pelo ator, que serve como um resolvedor de dead drop.
Também escrito em Rust, o payload final coleta impressões digitais do sistema comprometido e envia as informações na forma de uma string JSON para o servidor de comando e controle (C2), após o que o servidor responde com um comando para baixar mais malware.
"O SSLoad demonstra sua capacidade de coletar reconhecimento, tentar evadir detecção e implantar mais payloads por meio de vários métodos de entrega e técnicas", disseram os pesquisadores, acrescentando que sua decodificação dinâmica de strings e medidas anti-debug "enfatizam sua complexidade e adaptabilidade".
O desenvolvimento ocorre enquanto campanhas de phishing também foram observadas disseminando trojans de acesso remoto, como JScript RAT e Remcos RAT, para permitir operação persistente e execução de comandos recebidos do servidor.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...