SSLoad Diffusione di malware nella campagna di phishing
Gli esperti di sicurezza hanno identificato una strategia di attacco in corso che utilizza e-mail di phishing per distribuire una forma di malware nota come SSLoad. Soprannominata FROZEN#SHADOW da Securonix, questa campagna prevede l'implementazione del software desktop remoto Cobalt Strike e ConnectWise ScreenConnect.
Secondo i ricercatori, SSLoad è progettato per infiltrarsi discretamente nei sistemi, raccogliere dati sensibili e inviarli ai suoi operatori. Una volta all'interno di un sistema, SSLoad stabilisce più backdoor e payload per rimanere non rilevato e persistente.
L'attacco inizia con messaggi di phishing inviati casualmente a organizzazioni in Asia, Europa e nelle Americhe. Queste e-mail contengono collegamenti che portano a file JavaScript che avviano il processo di infezione.
SSLoad utilizza due diversi percorsi di distribuzione
Palo Alto Networks ha recentemente scoperto due metodi di distribuzione per SSLoad. Uno prevede l'incorporamento di URL dannosi nei moduli di contatto del sito Web, mentre l'altro utilizza documenti Microsoft Word abilitati per le macro. Quest'ultimo metodo è degno di nota perché non solo distribuisce SSLoad ma facilita anche la consegna di Cobalt Strike. Nel frattempo, il primo è stato utilizzato per distribuire un altro malware chiamato Latrodectus, potenzialmente successore di IcedID.
Il file JavaScript offuscato ("out_czlrh.js") recupera un file di installazione MSI ("slack.msi") da una condivisione di rete e lo esegue. Il programma di installazione MSI contatta quindi un dominio controllato dall'aggressore per scaricare ed eseguire il payload del malware SSLoad. Questo carico utile comunica con un server di comando e controllo, fornendo informazioni sul sistema compromesso.
Una volta completata la ricognizione iniziale, viene schierato il Cobalt Strike. Questo software legittimo viene utilizzato per scaricare e installare ScreenConnect, consentendo agli aggressori di assumere il controllo dell'host da remoto. Con pieno accesso al sistema, gli aggressori cercano di ottenere credenziali e altri dettagli critici del sistema, scansionando credenziali archiviate e documenti sensibili.
È stato osservato che gli aggressori espandevano il proprio accesso all'interno della rete, incluso il controller di dominio, stabilendo infine il proprio account di amministratore di dominio. Questo livello di accesso consente loro di infiltrarsi in qualsiasi macchina connessa all'interno del dominio, ponendo una sfida significativa da risolvere per le organizzazioni.
