SSLload Malware
Os analistas de segurança descobriram um ataque cibernético persistente usando e-mails de phishing para distribuir uma variedade de malware conhecida como SSLoad. Chamada de FROZEN#SHADOW, esta campanha emprega o Cobalt Strike junto com o ConnectWise ScreenConnect para acesso remoto à área de trabalho.
O objetivo principal do SSLoad é a infiltração clandestina, exfiltração de dados e comunicação sub-reptícia com seu centro de comando. Após a violação, o SSLoad instala vários backdoors e cargas úteis para garantir presença de longo prazo e evitar detecção.
Índice
Os Diferentes Vetores de Infecção Utilizados pelos Cibercriminosos
As cadeias de ataques envolvem a utilização de mensagens de phishing direcionadas a organizações na Ásia, na Europa e nas Américas. Esses e-mails contêm links que levam a arquivos JavaScript, iniciando o processo de infecção.
Descobertas anteriores de pesquisadores destacam dois métodos distintos de distribuição para o SSLoad. Um método utiliza formulários de contato de sites para incorporar URLs maliciosos, enquanto o outro emprega documentos do Microsoft Word habilitados para macro. Notavelmente, o último método facilita a entrega do Cobalt Strike via malware, enquanto o primeiro distribui outra variante de malware conhecida como Latrodectus, potencialmente sucedendoao IcedID.
ComoFunciona o Ataque do SSLoad?
O arquivo JavaScript oculto ('out_czlrh.js') é executado por meio de wscript.exe, iniciando um processo para recuperar um arquivo do instalador MSI ('slack.msi') de um compartilhamento de rede em '\wireoneinternet[.]info@80\share' . Uma vez obtido, o instalador utiliza msiexec.exe para ser executado.
Posteriormente, o instalador MSI estabelece contato com um domínio controlado pelo invasor para adquirir e implantar a carga útil do malware SSLoad por meio de rundll32.exe. Em seguida, o sistema comprometido envia sinais para um servidor de Comando e Controle (C2), transmitindo informações.
Este estágio inicial de reconhecimento prepara o terreno para o Cobalt Strike, um software legítimo de simulação de adversário, usado para baixar e instalar o ScreenConnect. Isso permite que os agentes da ameaça obtenham controle remoto sobre o host.
Os Invasores Infectam Dispositivos na Rede da Vítima e Comprometem Dados Confidenciais
Tendo obtido acesso completo ao sistema, os agentes da ameaça iniciam a aquisição de credenciais e coletam informações cruciais do sistema. Os cibercriminosos começam a verificar o host da vítima em busca de credenciais armazenadas em arquivos e outros documentos potencialmente confidenciais.
Além disso, os invasores migram para outros sistemas dentro da rede, incluindo o controlador de domínio, violando, em última análise, o domínio do Windows da vítima ao estabelecer sua própria conta de administrador de domínio.
Este alto nível de acesso permite que atores mal-intencionados entrem em qualquer máquina conectada dentro do domínio. Em última análise, este cenário representa o pior resultado para qualquer organização, uma vez que a persistência alcançada pelos atacantes necessita de muito tempo e recursos para remediação.
Tome Medidas contra Campanhas de Ataque como a do FROZEN#SHADOW
O phishing continua sendo o principal método para os agentes de ameaças executarem violações bem-sucedidas, introduzindo malware e comprometendo sistemas internos. É fundamental que os usuários da linha de frente reconheçam essas ameaças e entendam como identificá-las. Tenha cuidado com e-mails não solicitados, especialmente aqueles com conteúdo inesperado ou senso de urgência.
Em termos de prevenção e detecção, os investigadores sugerem evitar o download de ficheiros ou anexos de fontes externas desconhecidas, especialmente se não forem solicitados. Os tipos de arquivos comuns usados em ataques incluem zip, rar, iso e pdf, com arquivos zip utilizados principalmente nesta campanha. Além disso, é aconselhável monitorar diretórios de teste de malware comumente direcionados, especialmente para atividades relacionadas a scripts em diretórios graváveis.
Ao longo de várias fases da campanha do FROZEN#SHADOW os agentes de ameaças utilizaram canais criptografados na porta 443 para evitar a detecção. Portanto, é altamente recomendável implantar recursos robustos de registro em log de endpoint, incluindo o aproveitamento de registro adicional em nível de processo para melhorar a cobertura de detecção.
