SSLoad: охота на цифровые отпечатки объявляется открытой

Исследователи кибербезопасности из компании Intezer обнаружили новое вредоносное ПО под названием SSLoad, которое распространяется с помощью неизвестного ранее загрузчика PhantomLoader.

«Загрузчик добавляется в легитимные DLL , обычно в продукты EDR или антивирусы, посредством бинарного патчинга файла и использования методов самоизменения для обхода обнаружения», — сообщили исследователи безопасности Николь Фишбейн и Райан Робинсон в своём отчёте, опубликованном на этой неделе.

SSLoad, вероятно, предоставляется другим киберпреступникам по модели Malware-as-a-Service ( MaaS ) из-за разнообразия методов доставки. Вредоносное ПО проникает в системы через фишинговые письма, проводит разведку и загружает дополнительные виды вредоносного ПО на компьютеры жертв.

Ранее исследователи из Palo Alto Networks Unit 42 и Securonix сообщали об использовании SSLoad для распространения Cobalt Strike, легитимного программного обеспечения для моделирования атак, часто используемого для постэксплуатационных целей. Вредоносное ПО активно используется как минимум с апреля 2024 года.

Атака обычно начинается с использования MSI-инсталлятора, который при запуске инициирует последовательность заражения. Конкретно, он приводит к выполнению PhantomLoader, 32-битного DLL, написанного на C/C++, который маскируется под модуль DLL для антивирусного ПО 360 Total Security («MenuEx.dll»).

Первичная стадия вредоносного ПО предназначена для извлечения и запуска полезной нагрузки, представляющей собой DLL-библиотеку на Rust, которая, в свою очередь, получает основную полезную нагрузку SSLoad с удалённого сервера. Детали этой операции закодированы в управляемом злоумышленником Telegram-канале, который служит резолвером.

Конечная полезная нагрузка, также написанная на Rust, снимает цифровой отпечаток скомпрометированной системы и отправляет информацию в виде строки JSON на командный сервер ( C2 ), после чего сервер отвечает командой для загрузки дополнительного вредоносного ПО.

«SSLoad демонстрирует свою способность проводить разведку, пытаться избегать обнаружения и разворачивать дополнительные полезные нагрузки через различные методы и техники доставки», — отметили исследователи. Они добавили, что динамическое дешифрование строк и меры против отладки подчёркивают сложность и адаптивность этого вредоносного ПО.

Кроме того, в рамках фишинговых кампаний также наблюдается распространение удалённых троянов, таких как JScript RAT и Remcos RAT, для обеспечения постоянного доступа и выполнения команд, полученных с сервера.