SSLoad: охота на цифровые отпечатки объявляется открытой

Простой способ обойти блокировки – купи VPN через Телеграмм-бот:

Использование антивирусных компонентов позволяет хакерам обойти обнаружение и развернуть вредоносную нагрузку.

Исследователи кибербезопасности из компании Intezer обнаружили новое вредоносное ПО под названием SSLoad, которое распространяется с помощью неизвестного ранее загрузчика PhantomLoader.

«Загрузчик добавляется в легитимные DLL, обычно в продукты EDR или антивирусы, посредством бинарного патчинга файла и использования методов самоизменения для обхода обнаружения», — сообщили исследователи безопасности Николь Фишбейн и Райан Робинсон в своём отчёте, опубликованном на этой неделе.

SSLoad, вероятно, предоставляется другим киберпреступникам по модели Malware-as-a-Service (MaaS) из-за разнообразия методов доставки. Вредоносное ПО проникает в системы через фишинговые письма, проводит разведку и загружает дополнительные виды вредоносного ПО на компьютеры жертв.

Ранее исследователи из Palo Alto Networks Unit 42 и Securonix сообщали об использовании SSLoad для распространения Cobalt Strike, легитимного программного обеспечения для моделирования атак, часто используемого для постэксплуатационных целей. Вредоносное ПО активно используется как минимум с апреля 2024 года.

В России и ищешь VPN? Покупай через Телеграмм-бот:

Атака обычно начинается с использования MSI-инсталлятора, который при запуске инициирует последовательность заражения. Конкретно, он приводит к выполнению PhantomLoader, 32-битного DLL, написанного на C/C++, который маскируется под модуль DLL для антивирусного ПО 360 Total Security («MenuEx.dll»).

Первичная стадия вредоносного ПО предназначена для извлечения и запуска полезной нагрузки, представляющей собой DLL-библиотеку на Rust, которая, в свою очередь, получает основную полезную нагрузку SSLoad с удалённого сервера. Детали этой операции закодированы в управляемом злоумышленником Telegram-канале, который служит резолвером.

Конечная полезная нагрузка, также написанная на Rust, снимает цифровой отпечаток скомпрометированной системы и отправляет информацию в виде строки JSON на командный сервер (C2), после чего сервер отвечает командой для загрузки дополнительного вредоносного ПО.

  Microsoft запускает программу защиты сельских больниц США от кибератак

«SSLoad демонстрирует свою способность проводить разведку, пытаться избегать обнаружения и разворачивать дополнительные полезные нагрузки через различные методы и техники доставки», — отметили исследователи. Они добавили, что динамическое дешифрование строк и меры против отладки подчёркивают сложность и адаптивность этого вредоносного ПО.

Кроме того, в рамках фишинговых кампаний также наблюдается распространение удалённых троянов, таких как JScript RAT и Remcos RAT, для обеспечения постоянного доступа и выполнения команд, полученных с сервера.

Ваши данные уже украдены. Вопрос лишь в том, когда их используют против вас.

Узнайте, как защититься!

Надежный VPN сервис — это виртуальная частная сеть, которая обеспечивает высокую степень защиты и конфиденциальности при использовании интернета. Термин "надежный" относится к нескольким ключевым аспектам, которые делают VPN сервис безопасным и эффективным для пользователей.

Надежный VPN защищает ваши личные данные от слежки со стороны хакеров, интернет-провайдеров и государственных органов.

Использование надежного VPN помогает скрыть ваш IP-адрес и обеспечивает анонимность при серфинге в интернете.

Надежный VPN сервис — это важный инструмент для обеспечения безопасности, конфиденциальности и анонимности в интернете. Выбор надежного VPN поможет вам защитить свои данные, обойти блокировки и улучшить свой опыт онлайн-серфинга.

Добавить комментарий