El uso de componentes antivirus permite a los hackers evadir la detección y desplegar una carga maliciosa.
Los investigadores de ciberseguridad de Intezer han descubierto un nuevo malware llamado SSLoad que se distribuye a través de un cargador desconocido llamado PhantomLoader.
«El cargador se inyecta en DLLs legítimas, generalmente en productos EDR o antivirus, mediante el parche binario del archivo y el uso de técnicas de auto-modificación para evadir la detección», informaron los investigadores de seguridad Nicole Fishbein y Ryan Robinson en su informe publicado esta semana.
Es probable que SSLoad se ofrezca a otros cibercriminales bajo el modelo Malware-as-a-Service (MaaS) debido a la variedad de métodos de entrega. El malware ingresa a los sistemas a través de correos de phishing, realiza reconocimiento y descarga malware adicional en las computadoras de las víctimas.
Anteriormente, investigadores de Palo Alto Networks Unit 42 y Securonix informaron sobre el uso de SSLoad para distribuir Cobalt Strike, un software legítimo para simular ataques que se utiliza comúnmente para fines post-explotación. El malware ha estado activo al menos desde abril de 2024.
El ataque generalmente comienza con el uso de un instalador MSI que, cuando se ejecuta, inicia una secuencia de infección. Específicamente, lleva a la ejecución de PhantomLoader, un DLL de 32 bits escrito en C/C++ que se hace pasar por un módulo DLL para el software antivirus 360 Total Security («MenuEx.dll»).
La etapa inicial del malware está diseñada para extraer y ejecutar la carga útil, que es una biblioteca DLL escrita en Rust que a su vez obtiene la carga útil principal de SSLoad desde un servidor remoto. Los detalles de esta operación están codificados en un canal de Telegram controlado por el atacante que actúa como un resolvedor.
La carga útil final, también escrita en Rust, toma la huella digital del sistema comprometido y envía la información como una cadena JSON al servidor de comando y control (C2), después de lo cual el servidor responde con un comando para descargar más malware.
«SSLoad demuestra su capacidad para realizar reconocimiento, intentar evadir la detección e implementar cargas útiles adicionales a través de varios métodos y técnicas de entrega», señalaron los investigadores. Agregaron que el descifrado dinámico de cadenas y las medidas anti-depuración resaltan la complejidad y adaptabilidad de este malware.
Además, en las campañas de phishing también se ha observado la distribución de troyanos remotos como JScript RAT y Remcos RAT para mantener el acceso persistente y ejecutar comandos recibidos desde el servidor.