Αποτελεσματική αντιμετώπιση περιστατικών ασφάλειας πληροφοριών
21 Ιουνίου, 2024
Χάκερς δελεάζουν ανυποψίαστους χρήστες για την ανάπτυξη του Hijack Loader malware
25 Ιουνίου, 2024
Το νέο κακόβουλο λογισμικό (malware) SSLoad διανέμεται μέσω ενός άγνωστου μέχρι πρότινος loading προγράμματος που ονομάζεται PhantomLoader, σύμφωνα με την εταιρεία κυβερνοασφάλειας Intezer.
Οι ερευνητές Nicole Fishbein και Ryan Robinson αναφέρουν ότι το επιβλαβές λογισμικό ενσωματώνεται σε ένα αυθεντικό DLL, χρησιμοποιώντας τεχνικές “self-modifying” για να αποφύγει την ανίχνευση. Το SSLoad, πιθανώς διατίθεται ως υπηρεσία κακόβουλου λογισμικού (MaaS), διεισδύει στα συστήματα μέσω phishing emails, εκτελεί αναγνώριση και κατεβάζει επιπλέον κακόβουλο λογισμικό.
Προηγούμενες αναφορές από τις Palo Alto Networks Unit 42 και Securonix αποκάλυψαν τη χρήση του SSLoad για την εγκατάσταση του Cobalt Strike. Η επίθεση περιλαμβάνει τη χρήση ενός MSI installer που ενεργοποιεί την αλυσίδα μόλυνσης. Το PhantomLoader μιμείται ένα module του antivirus 360 Total Security και εκτελεί μια DLL κατεβαστή εφαρμογή βασισμένη στη γλώσσα Rust, η οποία κατεβάζει το κύριο payload του SSLoad από έναν απομακρυσμένο server.
Το τελικό payload, επίσης γραμμένο σε Rust, συλλέγει δεδομένα από το παραβιασμένο σύστημα και τα αποστέλλει στον command-and-control server. Ο server απαντά με εντολές για περαιτέρω κακόβουλες ενέργειες. Το SSLoad επιδεικνύει ικανότητες αναγνώρισης, αποφυγής ανίχνευσης και ανάπτυξης επιπλέον payloads, αναδεικνύοντας την πολυπλοκότητα και προσαρμοστικότητά του.
Παράλληλα, εκστρατείες phishing διανέμουν remote access trojans όπως το JScript RAT και το Remcos RAT, εξασφαλίζοντας επίμονη λειτουργία και δυνατότητα εκτέλεσης εντολών από τον server.
