SSLoad: охота на цифровые отпечатки объявляется открытой

Простой способ обойти блокировки – купи VPN через Телеграмм-бот:

Использование антивирусных компонентов позволяет хакерам обойти обнаружение и развернуть вредоносную нагрузку.

Исследователи кибербезопасности из компании Intezer обнаружили новое вредоносное ПО под названием SSLoad, которое распространяется с помощью неизвестного ранее загрузчика PhantomLoader.

«Загрузчик добавляется в легитимные DLL, обычно в продукты EDR или антивирусы, посредством бинарного патчинга файла и использования методов самоизменения для обхода обнаружения», — сообщили исследователи безопасности Николь Фишбейн и Райан Робинсон в своём отчёте, опубликованном на этой неделе.

SSLoad, вероятно, предоставляется другим киберпреступникам по модели Malware-as-a-Service (MaaS) из-за разнообразия методов доставки. Вредоносное ПО проникает в системы через фишинговые письма, проводит разведку и загружает дополнительные виды вредоносного ПО на компьютеры жертв.

Ранее исследователи из Palo Alto Networks Unit 42 и Securonix сообщали об использовании SSLoad для распространения Cobalt Strike, легитимного программного обеспечения для моделирования атак, часто используемого для постэксплуатационных целей. Вредоносное ПО активно используется как минимум с апреля 2024 года.

В России и ищешь VPN? Покупай через Телеграмм-бот:

Атака обычно начинается с использования MSI-инсталлятора, который при запуске инициирует последовательность заражения. Конкретно, он приводит к выполнению PhantomLoader, 32-битного DLL, написанного на C/C++, который маскируется под модуль DLL для антивирусного ПО 360 Total Security («MenuEx.dll»).

Первичная стадия вредоносного ПО предназначена для извлечения и запуска полезной нагрузки, представляющей собой DLL-библиотеку на Rust, которая, в свою очередь, получает основную полезную нагрузку SSLoad с удалённого сервера. Детали этой операции закодированы в управляемом злоумышленником Telegram-канале, который служит резолвером.

Конечная полезная нагрузка, также написанная на Rust, снимает цифровой отпечаток скомпрометированной системы и отправляет информацию в виде строки JSON на командный сервер (C2), после чего сервер отвечает командой для загрузки дополнительного вредоносного ПО.

  ARIA: проект, раскрывающий темные стороны искусственного интеллекта

«SSLoad демонстрирует свою способность проводить разведку, пытаться избегать обнаружения и разворачивать дополнительные полезные нагрузки через различные методы и техники доставки», — отметили исследователи. Они добавили, что динамическое дешифрование строк и меры против отладки подчёркивают сложность и адаптивность этого вредоносного ПО.

Кроме того, в рамках фишинговых кампаний также наблюдается распространение удалённых троянов, таких как JScript RAT и Remcos RAT, для обеспечения постоянного доступа и выполнения команд, полученных с сервера.

Ваши данные уже украдены. Вопрос лишь в том, когда их используют против вас.

Узнайте, как защититься!

Надежный VPN сервис — это виртуальная частная сеть, которая обеспечивает высокую степень защиты и конфиденциальности при использовании интернета. Термин "надежный" относится к нескольким ключевым аспектам, которые делают VPN сервис безопасным и эффективным для пользователей.

Надежный VPN защищает ваши личные данные от слежки со стороны хакеров, интернет-провайдеров и государственных органов.

Использование надежного VPN помогает скрыть ваш IP-адрес и обеспечивает анонимность при серфинге в интернете.

Надежный VPN сервис — это важный инструмент для обеспечения безопасности, конфиденциальности и анонимности в интернете. Выбор надежного VPN поможет вам защитить свои данные, обойти блокировки и улучшить свой опыт онлайн-серфинга.

Добавить комментарий