Malware de carga SSL
Los analistas de seguridad han descubierto un ciberataque persistente que utiliza correos electrónicos de phishing para distribuir una cepa de malware conocida como SSLoad. Esta campaña, denominada FROZEN#SHADOW, emplea Cobalt Strike junto con ConnectWise ScreenConnect para acceso a escritorio remoto.
El objetivo principal de SSLoad es la infiltración clandestina, la filtración de datos y la comunicación subrepticia con su centro de mando. En caso de infracción, SSLoad instala varias puertas traseras y cargas útiles para garantizar una presencia a largo plazo y evadir la detección.
Tabla de contenido
Los diferentes vectores de infección utilizados por los ciberdelincuentes
Las cadenas de ataque implican el uso de mensajes de phishing dirigidos a organizaciones de Asia, Europa y América. Estos correos electrónicos contienen enlaces que conducen a archivos JavaScript, lo que inicia el proceso de infección.
Hallazgos anteriores de investigadores destacan dos métodos de distribución distintos para SSLoad. Un método utiliza formularios de contacto de sitios web para incrustar URL maliciosas, mientras que el otro emplea documentos de Microsoft Word con macros habilitadas. En particular, el último método facilita la entrega de Cobalt Strike a través de malware, mientras que el primero distribuye otra variante de malware conocida como Latrodectus , que podría sucedera IcedID .
¿Cómo funciona el ataque SSLoad?
El archivo JavaScript oculto ('out_czlrh.js') se ejecuta a través de wscript.exe, iniciando un proceso para recuperar un archivo de instalación MSI ('slack.msi') de un recurso compartido de red en '\wireoneinternet[.]info@80\share' . Una vez obtenido, el instalador utiliza msiexec.exe para ejecutarse.
Posteriormente, el instalador de MSI establece contacto con un dominio controlado por el atacante para adquirir e implementar la carga útil de malware SSLoad a través de rundll32.exe. Después de esto, el sistema comprometido envía señales a un servidor de Comando y Control (C2), transmitiendo información.
Esta etapa de reconocimiento inicial prepara el escenario para Cobalt Strike, un software de simulación de adversario legítimo, que se emplea para descargar e instalar ScreenConnect. Esto permite a los actores de amenazas obtener control remoto sobre el host.
Los atacantes infectan dispositivos en la red de la víctima y comprometen datos confidenciales
Una vez obtenido acceso completo al sistema, los actores de amenazas inician la adquisición de credenciales y recopilan información crucial del sistema. Los ciberdelincuentes comienzan a escanear el host de la víctima en busca de credenciales almacenadas en archivos y otros documentos potencialmente confidenciales.
Además, los atacantes recurren a otros sistemas dentro de la red, incluido el controlador de dominio, y en última instancia violan el dominio de Windows de la víctima al establecer su propia cuenta de administrador de dominio.
Este alto nivel de acceso otorga a los actores imprudentes la entrada a cualquier máquina conectada dentro del dominio. En última instancia, este escenario representa el peor resultado para cualquier organización, ya que la persistencia lograda por los atacantes requiere mucho tiempo y recursos para su remediación.
Tome medidas contra campañas de ataque como FROZEN#SHADOW
El phishing sigue siendo el método principal para que los actores de amenazas ejecuten infracciones exitosas, introduciendo malware y comprometiendo los sistemas internos. Es fundamental que los usuarios de primera línea reconozcan estas amenazas y comprendan cómo identificarlas. Tenga cuidado con los correos electrónicos no solicitados, especialmente aquellos con contenido inesperado o sentido de urgencia.
En términos de prevención y detección, los investigadores sugieren abstenerse de descargar archivos o archivos adjuntos de fuentes externas desconocidas, especialmente si no son solicitados. Los tipos de archivos comunes utilizados en los ataques incluyen zip, rar, iso y pdf, y los archivos zip se utilizan principalmente en esta campaña. Además, se recomienda monitorear los directorios de preparación de malware comúnmente atacados, especialmente para la actividad relacionada con scripts en directorios grabables.
A lo largo de varias fases de la campaña FROZEN#SHADOW, los actores de amenazas utilizaron canales cifrados a través del puerto 443 para evadir la detección. Por lo tanto, se recomienda encarecidamente implementar capacidades sólidas de registro de puntos finales, incluido el aprovechamiento de registros adicionales a nivel de proceso para mejorar la cobertura de detección.
