Η εταιρεία Intezer ανακάλυψε ότι ένα σχετικά νέο SSLoad malware παραδίδεται τώρα στις συσκευές των θυμάτων μέσω ενός μη γνωστού loader προγράμματος που ονομάζεται PhantomLoader.
“Το loader προστίθεται σε ένα νόμιμο DLL, συνήθως προϊόντα EDR ή AV, μέσω binary patching του αρχείου και χρήσης τεχνικών self-modifying για αποφυγή του εντοπισμού“, ανέφεραν οι ερευνητές ασφαλείας Nicole Fishbein και Ryan Robinson.
Το SSLoad malware, που πιθανότατα προσφέρεται σε άλλους εγκληματίες (υπηρεσία Malware-as-a-Service), αν κρίνουμε από τις διαφορετικές μεθόδους παράδοσης, διανέμεται κυρίως μέσω phishing emails, πραγματοποιεί reconnaissance και ωθεί πρόσθετα malware στα θύματα.
Δείτε επίσης: Malware εκστρατεία στοχεύει Windows, Android και macOS
Το James Webb βρήκε γαλαξία πιο φωτεινό από τα αστέρια του
Το μέλλον της φιλοξενίας: Το πρώτο 3D-printed ξενοδοχείο
SpaceX: Το Starlink ξεπέρασε τους 4 εκατ. χρήστες
Προηγούμενες αναφορές από τις Palo Alto Networks Unit 42 και Securonix αποκάλυψαν τη χρήση του SSLoad για την ανάπτυξη του Cobalt Strike, ενός νόμιμου λογισμικού, που χρησιμοποιείται συχνά και από κυβερνοεγκληματίες για εκμετάλλευση συστημάτων. Το κακόβουλο λογισμικό έχει εντοπιστεί από τον Απρίλιο του 2024.
Οι αλυσίδες επίθεσης συνήθως περιλαμβάνουν τη χρήση ενός προγράμματος εγκατάστασης MSI που ξεκινά τη διαδικασία μόλυνσης. Συγκεκριμένα, ξεκινά την εκτέλεση του PhantomLoader, ενός DLL 32-bit γραμμένου σε C/C++ που μεταμφιέζεται ως μονάδα DLL για ένα λογισμικό προστασίας από ιούς που ονομάζεται 360 Total Security (“MenuEx.dll”).
Δείτε επίσης: Το νέο Cross-Platform «Noodle RAT» Malware στοχεύει Windows και Linux
Το κακόβουλο λογισμικό πρώτου σταδίου εξάγει και εκτελεί το payload, ένα Rust-based downloader DLL που, με τη σειρά του, ανακτά το κύριο SSLoad malware από έναν απομακρυσμένο διακομιστή.
To τελικό payload στέλνει πληροφορίες του συστήματος στον command-and-control (C2) server και ο διακομιστής απαντά με μια εντολή για λήψη περισσότερων malware.
Προστασία από malware
Η χρήση αξιόπιστου και ενημερωμένου λογισμικού antivirus είναι απαραίτητη για την προστασία από malware. Τα antivirus προγράμματα μπορούν να ανιχνεύσουν και να αφαιρέσουν κακόβουλο λογισμικό, καθώς και να παρέχουν συνεχή προστασία σε πραγματικό χρόνο.
Η τακτική ενημέρωση του λειτουργικού συστήματος και του λογισμικού είναι, επίσης, κρίσιμη. Οι ενημερώσεις περιλαμβάνουν διορθώσεις ασφαλείας που κλείνουν τα κενά που θα μπορούσαν να εκμεταλλευτούν οι επιτιθέμενοι.
Δείτε επίσης: Το malware Warmcookie προωθείται μέσω ψεύτικων προσφορών εργασίας
Ακολουθεί η χρήση ισχυρών και μοναδικών κωδικών πρόσβασης για κάθε λογαριασμό. Οι κωδικοί πρόσβασης πρέπει να περιλαμβάνουν συνδυασμό γραμμάτων, αριθμών και ειδικών χαρακτήρων για να είναι πιο δύσκολο να σπάσουν.
Η ενεργοποίηση της πολυπαραγοντικής ταυτοποίησης (MFA) προσθέτει ένα επιπλέον επίπεδο ασφάλειας. Ακόμα και αν κάποιος αποκτήσει τον κωδικό πρόσβασής σας, θα χρειαστεί και τον δεύτερο παράγοντα για να αποκτήσει πρόσβαση.
Τέλος, πολύ σημαντική είναι και η αποφυγή κλικ σε ύποπτους συνδέσμους και συνημμένα αρχεία σε email και μηνύματα. Οι επιτιθέμενοι συχνά χρησιμοποιούν phishing emails για να εξαπατήσουν τους χρήστες και να εγκαταστήσουν malware στους υπολογιστές τους.
Πηγή: thehackernews.com