Los
investigadores de ANY.RUN descubrieron
un nuevo ataque en el que los ciberdelincuentes utilizan PhantomLoader para
entregar
SSLoad, un malware altamente evasivo basado en Rust.
Al disfrazar PhantomLoader como parte del software antivirus legítimo 360
Total Security, los atacantes pueden eludir las defensas tradicionales e
infectar los sistemas.
Paso 1: acceso inicial mediante phishing
Como se puede ver en
esta sesión, el ataque comienza con un correo electrónico de phishing que contiene un
documento de Word malicioso. Una vez que la víctima abre el documento, se
activa una macro incrustada que inicia la cadena de infección y permite que el
malware se infiltre en el sistema.
En una de las muestras analizadas, la ejecución del documento malicioso de
Word inició un nuevo proceso, «app.com», iniciado por
«WINWORD.exe». Esto confirma el papel de la macro en la creación de un
proceso sospechoso y el inicio de la infección.
Paso 2: PhantomLoader disfrazado de módulo antivirus
Luego, se inicia PhantomLoader, disfrazado de un módulo legítimo de 360 Total Security llamado «PatchUp.exe». Su función es descifrar el
código incrustado, que luego procede a cargar el malware real, SSLoad, en la
memoria. Este engaño permite a PhantomLoader eludir la detección antivirus.
PhantomLoader utiliza técnicas de parcheo binario para integrarse en
software legítimo, ocultando su verdadera intención maliciosa.
Después del lanzamiento, descifra los fragmentos de código incrustados dentro
del ejecutable parcheado, que a su vez descifra y carga el malware de
siguiente etapa, SSLoad, directamente en la memoria del sistema.
Paso 3: Ejecución y evasión de SSLoad
Una vez descifrado y cargado en la memoria, SSLoad, un malware basado en Rust
altamente evasivo, comienza su ejecución. SSLoad emplea una variedad de
técnicas antianálisis para pasar desapercibido, incluidas comprobaciones de
herramientas de depuración y entornos virtualizados.
Este malware también puede detectar si está siendo monitoreado por
investigadores de seguridad. Si se encuentran tales condiciones, SSLoad puede
finalizarse o cambiar su comportamiento para evitar el análisis, asegurándose
de que pueda continuar operando de manera sigilosa.
Lo que hace que PhantomLoader sea único es que, mediante un parche en el binario, se agrega para ser parte de una DLL o ejecutable de un software legítimo.
Paso 4: Descubrimiento de información del sistema
Una vez que SSLoad se ejecuta sin ser detectado, comienza a recopilar
información crucial del sistema. Realiza un estudio detallado de la
configuración de la máquina infectada, incluida la versión del sistema
operativo, la arquitectura, la configuración de la red (direcciones IP,
interfaces de red) y los detalles del usuario.
Esta información permite a SSLoad adaptar su comportamiento según el entorno
del sistema. Por ejemplo, puede ajustar sus operaciones dependiendo de si se
ejecuta en un sistema objetivo de alto valor o dentro de una red corporativa.
Paso 5: Persistencia y Comunicación C2
Una vez que SSLoad ha recopilado información del sistema y completado sus
comprobaciones iniciales, comienza a comunicarse con su servidor de comando y
control (C2).
El malware envía una huella digital del sistema infectado, que incluye datos
cruciales sobre el sistema comprometido.
La comunicación entre SSLoad y el servidor C2 está cifrada, lo que dificulta
que las herramientas de seguridad de la red la detecten o bloqueen. Después de
enviar la información inicial del sistema, el servidor C2 responde con una
«clave» y un «ID» únicos. La clave se utiliza para asegurar comunicaciones
adicionales, mientras que la identificación permite a SSLoad autenticarse en
el servidor, garantizando que solo se reciban instrucciones autorizadas.
Una vez establecida la conexión, SSLoad se comunica periódicamente con el
servidor C2 para obtener más instrucciones. Estas instrucciones pueden incluir
la descarga de malware adicional, la extracción de datos o la realización de
otras acciones basadas en los objetivos de los atacantes.
Para una inmersión más profunda en PhantomLoader y SSLoad y los IOCs correspondientes, se puede acceder al análisis completo en el blog de ANY.RUN.
Fuente: AnyRun