Les logiciels malveillants SSLoad se propagent lors d'une campagne de phishing
Les experts en sécurité ont identifié une stratégie d'attaque continue qui utilise des e-mails de phishing pour distribuer une forme de malware connue sous le nom de SSLoad. Baptisée FROZEN#SHADOW par Securonix, cette campagne implique le déploiement des logiciels de bureau à distance Cobalt Strike et ConnectWise ScreenConnect.
Selon les chercheurs, SSLoad est conçu pour infiltrer discrètement les systèmes, collecter des données sensibles et les renvoyer à ses opérateurs. Une fois à l'intérieur d'un système, SSLoad établit plusieurs portes dérobées et charges utiles pour rester non détectées et persistantes.
L’attaque commence par des messages de phishing envoyés de manière aléatoire à des organisations en Asie, en Europe et sur le continent américain. Ces e-mails contiennent des liens menant vers des fichiers JavaScript qui lancent le processus d'infection.
SSLoad utilise deux chemins de distribution différents
Palo Alto Networks a récemment découvert deux méthodes de distribution pour SSLoad. L’un consiste à intégrer des URL malveillantes dans les formulaires de contact de sites Web, tandis que l’autre utilise des documents Microsoft Word prenant en charge les macros. Cette dernière méthode est remarquable car elle distribue non seulement SSLoad mais facilite également la livraison de Cobalt Strike. Entre-temps, le premier a été utilisé pour distribuer un autre malware appelé Latrodectus, qui pourrait succéder à IcedID.
Le fichier JavaScript obfusqué (« out_czlrh.js ») récupère un fichier d'installation MSI (« slack.msi ») à partir d'un partage réseau et l'exécute. Le programme d'installation de MSI contacte ensuite un domaine contrôlé par l'attaquant pour télécharger et exécuter la charge utile du malware SSLoad. Cette charge utile communique avec un serveur de commande et de contrôle, fournissant des informations sur le système compromis.
Une fois la reconnaissance initiale terminée, Cobalt Strike est déployé. Ce logiciel légitime est utilisé pour télécharger et installer ScreenConnect, permettant aux attaquants de prendre le contrôle de l'hôte à distance. Avec un accès complet au système, les attaquants cherchent à obtenir des informations d'identification et d'autres détails critiques du système, en recherchant les informations d'identification stockées et les documents sensibles.
Les attaquants ont été observés en élargissant leur accès au sein du réseau, y compris au contrôleur de domaine, créant finalement leur propre compte d'administrateur de domaine. Ce niveau d'accès leur permet d'infiltrer n'importe quelle machine connectée au sein du domaine, ce qui pose un défi important à relever pour les organisations.