Propagação de malware SSLoad em campanha de phishing

Especialistas em segurança identificaram uma estratégia de ataque contínua que utiliza e-mails de phishing para distribuir uma forma de malware conhecida como SSLoad. Chamada de FROZEN#SHADOW pela Securonix, esta campanha envolve a implantação do software de desktop remoto Cobalt Strike e ConnectWise ScreenConnect.

Segundo os pesquisadores, o SSLoad foi projetado para se infiltrar discretamente nos sistemas, coletar dados confidenciais e enviá-los de volta aos seus operadores. Uma vez dentro de um sistema, o SSLoad estabelece vários backdoors e cargas úteis para permanecer indetectável e persistente.

O ataque começa com mensagens de phishing enviadas aleatoriamente para organizações na Ásia, Europa e Américas. Esses e-mails contêm links que levam a arquivos JavaScript que iniciam o processo de infecção.

SSLoad usa dois caminhos de distribuição diferentes

A Palo Alto Networks descobriu recentemente dois métodos de distribuição para SSLoad. Um envolve a incorporação de URLs maliciosos em formulários de contato de sites, enquanto o outro emprega documentos do Microsoft Word habilitados para macro. O último método é digno de nota porque não apenas distribui SSLoad, mas também facilita a entrega do Cobalt Strike. Enquanto isso, o primeiro foi usado para distribuir outro malware chamado Latrodectus, potencialmente sucedendo ao IcedID.

O arquivo JavaScript ofuscado ("out_czlrh.js") recupera um arquivo do instalador MSI ("slack.msi") de um compartilhamento de rede e o executa. O instalador MSI então entra em contato com um domínio controlado pelo invasor para baixar e executar a carga útil do malware SSLoad. Essa carga se comunica com um servidor de comando e controle, fornecendo informações sobre o sistema comprometido.

Assim que o reconhecimento inicial for concluído, o Cobalt Strike é implantado. Este software legítimo é usado para baixar e instalar o ScreenConnect, permitindo que os invasores assumam o controle do host remotamente. Com acesso total ao sistema, os invasores procuram obter credenciais e outros detalhes críticos do sistema, verificando credenciais armazenadas e documentos confidenciais.

Os invasores foram observados expandindo seu acesso dentro da rede, inclusive ao controlador de domínio, estabelecendo, em última análise, sua própria conta de administrador de domínio. Esse nível de acesso permite que eles se infiltrem em qualquer máquina conectada dentro do domínio, representando um desafio significativo para as organizações remediarem.