SSLoad Spredning af malware i phishing-kampagne

Sikkerhedseksperter har identificeret en igangværende angrebsstrategi, der bruger phishing-e-mails til at distribuere en form for malware kendt som SSLoad. Kaldet FROZEN#SHADOW af Securonix, denne kampagne involverer implementering af Cobalt Strike og ConnectWise ScreenConnect fjernskrivebordssoftware.

Ifølge forskere er SSLoad udviklet til diskret at infiltrere systemer, indsamle følsomme data og sende dem tilbage til sine operatører. Når først er inde i et system, etablerer SSLoad flere bagdøre og nyttelast for at forblive uopdaget og vedvarende.

Angrebet begynder med phishing-beskeder, der sendes tilfældigt til organisationer på tværs af Asien, Europa og Amerika. Disse e-mails indeholder links, der fører til JavaScript-filer, der starter infektionsprocessen.

SSLoad bruger to forskellige distributionsstier

Palo Alto Networks afslørede for nylig to distributionsmetoder til SSLoad. Den ene involverer indlejring af ondsindede URL'er i webstedskontaktformularer, mens den anden anvender makroaktiverede Microsoft Word-dokumenter. Sidstnævnte metode er bemærkelsesværdig, fordi den ikke kun distribuerer SSLoad, men også letter leveringen af Cobalt Strike. I mellemtiden er førstnævnte blevet brugt til at distribuere en anden malware kaldet Latrodectus, der potentielt efterfølger IcedID.

Den slørede JavaScript-fil ("out_czlrh.js") henter en MSI-installationsfil ("slack.msi") fra en netværksshare og udfører den. MSI-installationsprogrammet kontakter derefter et domæne, der kontrolleres af angriberen, for at downloade og udføre SSLoad malware-nyttelasten. Denne nyttelast kommunikerer med en kommando-og-kontrol-server, der giver information om det kompromitterede system.

Når den indledende rekognoscering er afsluttet, er Cobalt Strike indsat. Denne legitime software bruges til at downloade og installere ScreenConnect, hvilket giver angriberne mulighed for at tage kontrol over værten på afstand. Med fuld adgang til systemet søger angriberne at indhente legitimationsoplysninger og andre kritiske systemdetaljer ved at scanne for gemte legitimationsoplysninger og følsomme dokumenter.

Angriberne er blevet observeret udvide deres adgang inden for netværket, herunder til domænecontrolleren, og i sidste ende etablere deres egen domæneadministratorkonto. Dette adgangsniveau gør det muligt for dem at infiltrere enhver tilsluttet maskine inden for domænet, hvilket udgør en betydelig udfordring for organisationer at afhjælpe.