Le malware naissant connu sous le nom de Chargement SSL est livré au moyen d’un chargeur jusqu’alors non documenté appelé PhantomLoader, selon les conclusions de la société de cybersécurité Intezer.
« Le chargeur est ajouté à une DLL légitime, généralement des produits EDR ou AV, en appliquant un correctif binaire au fichier et en employant des techniques d’auto-modification pour échapper à la détection », chercheurs en sécurité Nicole Fishbein et Ryan Robinson. dit dans un rapport publié cette semaine.
SSLoad, probablement proposé à d’autres acteurs malveillants dans le cadre d’un modèle Malware-as-a-Service (MaaS) en raison de ses différentes méthodes de livraison, infiltre les systèmes via des e-mails de phishing, effectue des reconnaissances et transmet d’autres types de logiciels malveillants aux victimes.
Des rapports antérieurs de Palo Alto Networks Unit 42 et Securonix ont révélé l’utilisation de SSLoad pour déployer Cobalt Strike, un logiciel de simulation d’adversaire légitime souvent utilisé à des fins de post-exploitation. Le malware est détecté depuis avril 2024.
Les chaînes d’attaque impliquent généralement l’utilisation d’un programme d’installation MSI qui, une fois lancé, lance la séquence d’infection. Plus précisément, cela conduit à l’exécution de PhantomLoader, une DLL 32 bits écrite en C/C++ qui se fait passer pour un module DLL pour un logiciel antivirus appelé 360 Total Security (« MenuEx.dll« ).
Le malware de première étape est conçu pour extraire et exécuter la charge utile, une DLL de téléchargement basée sur Rust qui, à son tour, récupère la charge utile SSLoad principale à partir d’un serveur distant, dont les détails sont codés dans un canal Telegram contrôlé par un acteur et que les serveurs comme résolveur de chute morte.
Également écrite en Rust, la charge utile finale empreinte le système compromis et envoie les informations sous la forme d’une chaîne JSON au serveur de commande et de contrôle (C2), après quoi le serveur répond avec une commande pour télécharger davantage de logiciels malveillants.
« SSLoad démontre sa capacité à rassembler des reconnaissances, à tenter d’échapper à la détection et à déployer d’autres charges utiles grâce à diverses méthodes et techniques de livraison », ont déclaré les chercheurs, ajoutant que son décryptage dynamique de chaînes et ses mesures anti-débogage « soulignent sa complexité et son adaptabilité ».
Ce développement intervient alors que des campagnes de phishing ont également été observées diffusant des chevaux de Troie d’accès à distance tels que RAT JScript et Remcos RAT pour permettre le fonctionnement persistant et l’exécution des commandes reçues du serveur.