O malware nascente conhecido como Carregar SSL está sendo entregue por meio de um carregador anteriormente não documentado chamado PhantomLoader, de acordo com descobertas da empresa de segurança cibernética Intezer.
“O carregador é adicionado a uma DLL legítima, geralmente produtos EDR ou AV, por meio de correção binária do arquivo e emprego de técnicas de automodificação para evitar a detecção”, disseram os pesquisadores de segurança Nicole Fishbein e Ryan Robinson em um relatório publicado esta semana.
O SSLoad, provavelmente oferecido a outros agentes de ameaças sob um modelo de Malware como Serviço (MaaS) devido aos seus diferentes métodos de entrega, infiltra-se nos sistemas através de e-mails de phishing, realiza reconhecimento e envia tipos adicionais de malware para as vítimas.
Relatórios anteriores da Unidade 42 da Palo Alto Networks e da Securonix revelaram o uso de SSLoad para implantar o Cobalt Strike, um software program legítimo de simulação de adversário frequentemente usado para fins pós-exploração. O malware foi detectado desde abril de 2024.
As cadeias de ataque normalmente envolvem o uso de um instalador MSI que, quando iniciado, inicia a sequência de infecção. Especificamente, leva à execução do PhantomLoader, uma DLL de 32 bits escrita em C/C++ que se disfarça como um módulo DLL para um software program antivírus chamado 360 Whole Safety (“MenuEx.dll”).
O malware de primeiro estágio é projetado para extrair e executar a carga útil, uma DLL de obtain baseada em Rust que, por sua vez, recupera a carga útil SSLoad principal de um servidor remoto, cujos detalhes são codificados em um canal Telegram controlado por ator que os servidores como resolvedor useless drop.
Também escrita em Rust, a carga útil remaining identifica o sistema comprometido e envia as informações na forma de uma string JSON para o servidor de comando e controle (C2), após o qual o servidor responde com um comando para baixar mais malware.
“SSLoad demonstra sua capacidade de reunir reconhecimento, tentar escapar da detecção e implantar cargas adicionais através de vários métodos e técnicas de entrega”, disseram os pesquisadores, acrescentando que sua descriptografia dinâmica de strings e medidas anti-depuração “enfatizam sua complexidade e adaptabilidade”.
O desenvolvimento ocorre no momento em que campanhas de phishing também foram observadas disseminando trojans de acesso remoto, como JScript RAT e Remcos RAT, para permitir operação persistente e execução de comandos recebidos do servidor.
