Согласно выводам фирмы по кибербезопасности Intezer, зарождающееся вредоносное ПО, известное как SSLoad, доставляется с помощью ранее недокументированного загрузчика под названием PhantomLoader.
"Загрузчик добавляется в законную библиотеку DLL, обычно EDR или AV-продукты, путем бинарного исправления файла и использования методов самоизменения, чтобы избежать обнаружения", - сказали исследователи безопасности Николь Фишбейн и Райан Робинсон в отчете, опубликованном на этой неделе.
SSLoad, который, вероятно, предлагается другим субъектам угрозы по модели "Вредоносное ПО как услуга" (MaaS) из-за различных методов доставки, проникает в системы через фишинговые электронные письма, проводит разведку и отправляет жертвам дополнительные типы вредоносного ПО.
Предыдущее сообщение от подразделения Palo Alto Networks 42 и Securonix выявило использование SSLoad для развертывания Cobalt Strike, законного программного обеспечения для моделирования злоумышленников, часто используемого в целях последующей эксплуатации. Вредоносное ПО было обнаружено с апреля 2024 года.
Цепочки атак обычно включают использование установщика MSI, который при запуске инициирует последовательность заражения. В частности, это приводит к запуску PhantomLoader, 32-разрядной библиотеки DLL, написанной на C / C ++, которая маскируется под модуль DLL для антивирусного программного обеспечения под названием 360 Total Security ("MenuEx.dll").
Вредоносное ПО первой стадии предназначено для извлечения и запуска полезной нагрузки, DLL-файла загрузчика на основе Rust, который, в свою очередь, извлекает основную полезную нагрузку SSLoad с удаленного сервера, сведения о котором закодированы в Telegram-канале, контролируемом участником, который выполняет функцию deaddrop resolver.
Конечная полезная нагрузка, также написанная на Rust, снимает отпечатки пальцев с взломанной системы и отправляет информацию в виде строки JSON на командно-контрольный сервер (C2), после чего сервер отвечает командой на загрузку дополнительных вредоносных программ.
"SSLoad демонстрирует свою способность собирать разведданные, пытаться избежать обнаружения и развертывать дополнительные полезные нагрузки с помощью различных методов доставки", - сказали исследователи, добавив, что динамическое дешифрование строк и меры по борьбе с отладкой "подчеркивают его сложность и адаптивность".
Развитие происходит после того, как были замечены фишинговые кампании, распространяющие трояны удаленного доступа, такие как JScript RAT и Remcos RAT, обеспечивающие постоянную работу и выполнение команд, полученных с сервера.
"Загрузчик добавляется в законную библиотеку DLL, обычно EDR или AV-продукты, путем бинарного исправления файла и использования методов самоизменения, чтобы избежать обнаружения", - сказали исследователи безопасности Николь Фишбейн и Райан Робинсон в отчете, опубликованном на этой неделе.
SSLoad, который, вероятно, предлагается другим субъектам угрозы по модели "Вредоносное ПО как услуга" (MaaS) из-за различных методов доставки, проникает в системы через фишинговые электронные письма, проводит разведку и отправляет жертвам дополнительные типы вредоносного ПО.
Предыдущее сообщение от подразделения Palo Alto Networks 42 и Securonix выявило использование SSLoad для развертывания Cobalt Strike, законного программного обеспечения для моделирования злоумышленников, часто используемого в целях последующей эксплуатации. Вредоносное ПО было обнаружено с апреля 2024 года.
Цепочки атак обычно включают использование установщика MSI, который при запуске инициирует последовательность заражения. В частности, это приводит к запуску PhantomLoader, 32-разрядной библиотеки DLL, написанной на C / C ++, которая маскируется под модуль DLL для антивирусного программного обеспечения под названием 360 Total Security ("MenuEx.dll").
Вредоносное ПО первой стадии предназначено для извлечения и запуска полезной нагрузки, DLL-файла загрузчика на основе Rust, который, в свою очередь, извлекает основную полезную нагрузку SSLoad с удаленного сервера, сведения о котором закодированы в Telegram-канале, контролируемом участником, который выполняет функцию deaddrop resolver.
Конечная полезная нагрузка, также написанная на Rust, снимает отпечатки пальцев с взломанной системы и отправляет информацию в виде строки JSON на командно-контрольный сервер (C2), после чего сервер отвечает командой на загрузку дополнительных вредоносных программ.
"SSLoad демонстрирует свою способность собирать разведданные, пытаться избежать обнаружения и развертывать дополнительные полезные нагрузки с помощью различных методов доставки", - сказали исследователи, добавив, что динамическое дешифрование строк и меры по борьбе с отладкой "подчеркивают его сложность и адаптивность".
Развитие происходит после того, как были замечены фишинговые кампании, распространяющие трояны удаленного доступа, такие как JScript RAT и Remcos RAT, обеспечивающие постоянную работу и выполнение команд, полученных с сервера.
