Un reciente informe de la firma de ciberseguridad Intezer revela que el malware denominado SSLoad se está difundiendo a través de un nuevo cargador llamado PhantomLoader. Según los investigadores, este cargador se añade a un DLL legítimo utilizando técnicas de auto-modificación para evadir la detección. El malware SSLoad se ofrece a otros actores de amenazas como un servicio y es probable que se infiltre en sistemas a través de correos electrónicos de phishing, realice reconocimiento y distribuya otros tipos de malware a las víctimas.
Reportes anteriores también han señalado el uso de SSLoad para desplegar software legítimo como Cobalt Strike. Desde abril de 2024, se ha detectado el uso de este malware en varios ataques. El modus operandi de estos ataques implica el uso de un instalador MSI que inicia la secuencia de infección, lo que lleva a la ejecución de PhantomLoader, un DLL de 32 bits que se disfraza como un módulo DLL para un software antivirus llamado 360 Total Security («MenuEx.dll«).
El malware de primera etapa extrae y ejecuta la carga, un DLL descargador basado en Rust que recupera la carga principal de SSLoad desde un servidor remoto. Posteriormente, la carga final identifica el sistema comprometido y envía la información al servidor de comando y control, el cual responde con un comando para descargar más malware. Según los investigadores, SSLoad demuestra su capacidad para recopilar información, evadir la detección y desplegar más cargas a través de varios métodos de distribución y técnicas. Además, señalan que sus técnicas dinámicas de desencriptación de cadenas y medidas anti-depuración enfatizan su complejidad y adaptabilidad.
Este hallazgo se produce en el contexto de campañas de phishing que también han estado diseminando troyanos de acceso remoto como JScript RAT y Remcos RAT para habilitar operaciones persistentes y ejecución de comandos desde el servidor.
Vía The Hacker News
