SSLoad è un malware stealth utilizzato per infiltrarsi nei sistemi tramite email di phishing, raccogliere informazioni di ricognizione e trasmetterle agli operatori, oltre a distribuire vari payload. Recentemente, Unit42 ha evidenziato una campagna attiva che sfrutta SSLoad nel loro arsenale di attacco.

Vettori di Attacco

Uno dei vettori di attacco coinvolge un documento Word esca che consegna una DLL SSLoad, la quale esegue infine Cobalt Strike. Un altro vettore utilizza un’email di phishing che porta a una falsa pagina Azure, scaricando uno script JavaScript che alla fine scarica un installer MSI che carica il payload SSLoad.

Caratteristiche di SSLoad

SSLoad è un nuovo malware che prende di mira le vittime dall’aprile 2024. Una recente relazione di Secournix ha evidenziato l’attività più recente di SSLoad e abbiamo già osservato ulteriori varianti di consegna. I metodi di consegna diversi suggeriscono il suo utilizzo nelle operazioni Malware-as-a-Service (MaaS), evidenziando la sua natura versatile.

Analisi Tecnica Dettagliata

Installer MSI

L’analisi è iniziata con il dissezionamento del file MSI identificato in una delle campagne. Questo installer avvia una catena di consegna composta da diversi loader, distribuendo infine il payload finale.

Utilizzando msitools, è possibile determinare le azioni che l’installer eseguirà.

PhantomLoader

Il primo loader è una DLL a 32 bit scritta in C/C++, servendo come loader di prima fase. Chiamato PhantomLoader per il suo comportamento elusivo e stealth, viene aggiunto a una DLL legittima tramite patching binario e tecniche di auto-modifica per evitare il rilevamento. Il loader tenta di camuffarsi come una DLL legittima associata a un programma antivirus cinese, 360 Total Security.

Decodifica e Esecuzione

Il loader decodifica la funzione stub, che poi estrae il payload dalla sezione delle risorse. La logica di decodifica utilizza un metodo di decrittazione XOR.

SSLoad: Il Downloader

Il payload è una DLL a 32 bit scritta in Rust, identificata come SSLoad. Questa variante inizia decodificando un URL e un user agent, che puntano a un canale Telegram usato come sito di drop.

L’indirizzo URL decodificato:

• https://t[.]me/+st2YadnCIU1iNmQy
• Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36

Tecniche di Anti-Debugging e Fingerprinting

SSLoad verifica la flag BeingDebugged nel Process-Environment-Block (PEB) come tecnica anti-debugging. La libreria Advapi32.dll viene caricata dinamicamente per ottenere la funzione RtlGenRandom, utilizzata per generare un nome univoco per una cartella di lavoro.

Comunicazione C2 e Registrazione

SSLoad invia un beacon di registrazione al server C2, che risponde con una chiave e un ID univoco per l’host infetto. Successivamente, SSLoad inizia un ciclo di beaconing per inviare richieste HTTP POST al C2.

L’analisi di SSLoad rivela la natura intricata di questo malware, evidenziando la sua capacità di raccogliere ricognizioni, tentare di evitare il rilevamento e distribuire ulteriori payload. L’uso di un downloader basato su Rust, un loader mai visto prima, e tecniche di decrittazione dinamica delle stringhe e anti-debugging sottolineano la sua complessità e adattabilità.

Elastic Security Labs ha osservato una nuova ondata di campagne email a fine aprile, mirate a distribuire un nuovo backdoor chiamato WARMCOOKIE, identificato tramite i dati inviati attraverso il parametro HTTP cookie. Durante l’analisi iniziale, il team ha identificato somiglianze con un campione precedentemente riportato da eSentire, noto come resident2.exe. Tuttavia, WARMCOOKIE presenta funzionalità diverse e viene utilizzato quotidianamente in campagne di phishing a tema lavorativo.

Caratteristiche principali di WARMCOOKIE

• Phishing a Tema Lavorativo: Campagne di phishing che utilizzano esche legate al reclutamento per distribuire il backdoor WARMCOOKIE.
• Funzionalità di Base: Strumento iniziale utilizzato per ricognizioni, cattura di schermate e distribuzione di payload aggiuntivi.
• Infrastruttura Dinamica: Creazione di nuovi domini e infrastrutture settimanali per supportare queste campagne.

Panoramica della Campagna REF6127

Dal fine aprile 2024, il team di Elastic Security Labs ha osservato nuove campagne di phishing che utilizzano esche legate al reclutamento. Gli email mirano specificamente agli individui per far loro cliccare su un link che porta a una pagina di destinazione che sembra legittima. Qui, agli utenti viene chiesto di scaricare un documento dopo aver risolto un CAPTCHA, che avvia l’esecuzione di WARMCOOKIE tramite uno script PowerShell.

Analisi del malware WARMCOOKIE

Persistenza e esecuzione

WARMCOOKIE utilizza un DLL di Windows in due fasi principali. La prima fase coinvolge il download e l’esecuzione del DLL tramite PowerShell, con configurazione della persistenza utilizzando il Task Scheduler di Windows. La seconda fase include funzionalità principali come fingerprinting della macchina vittima e cattura di schermate.

Comunicazione e integrità

Il malware comunica tramite HTTP con un indirizzo IP hardcoded e protegge il traffico di rete usando una combinazione di RC4 e Base64. Viene utilizzato un checksum CRC32 per verificare l’integrità dei dati inviati e ricevuti.

Funzionalità del Bot

WARMCOOKIE offre sette comandi principali per gli attori delle minacce, tra cui:

1. Recupero dei dettagli della vittima.
2. Cattura di schermate.
3. Recupero dei programmi installati.
4. Esecuzione di comandi della linea di comando.
5. Scrittura di file sulla macchina vittima.
6. Lettura di file dalla macchina vittima.
7. Rimozione della persistenza configurata.

Prevenzione e rilevamento

Elastic Security Labs ha creato regole YARA per identificare l’attività di WARMCOOKIE, disponibili su GitHub. La prevenzione e il rilevamento tempestivi di questo malware sono cruciali per mitigare il rischio di ulteriori payload dannosi come ransomware.

Google ha avvisato di una vulnerabilità di sicurezza nel firmware dei dispositivi Pixel, sfruttata attivamente come zero-day. Questa vulnerabilità, identificata come CVE-2024-32896, è un problema di elevazione dei privilegi che ha un impatto significativo sui dispositivi.

Dettagli della vulnerabilità

La vulnerabilità CVE-2024-32896 è stata scoperta nel firmware dei Pixel ed è considerata ad alta gravità. Google non ha condiviso ulteriori dettagli sulla natura degli attacchi che sfruttano questa vulnerabilità, ma ha indicato che “ci sono indicazioni che CVE-2024-32896 potrebbe essere sotto sfruttamento limitato e mirato”.

Il bollettino di aggiornamento di sicurezza di giugno 2024 per i dispositivi Pixel affronta un totale di 50 vulnerabilità di sicurezza, di cui cinque riguardano vari componenti nei chipset Qualcomm. Alcuni dei problemi risolti includono un problema di denial-of-service (DoS) che impatta il modem e numerose vulnerabilità di divulgazione di informazioni che interessano GsmSs, ACPM e Trusty.

Dispositivi supportati

Gli aggiornamenti di sicurezza sono disponibili per i seguenti dispositivi Pixel supportati: Pixel 5a con 5G, Pixel 6a, Pixel 6, Pixel 6 Pro, Pixel 7, Pixel 7 Pro, Pixel 7a, Pixel 8, Pixel 8 Pro, Pixel 8a e Pixel Fold.

Punti salienti dell’Aggiornamento

1. Problemi Risolti nei Chipset Qualcomm: Oltre alla vulnerabilità CVE-2024-32896, l’aggiornamento affronta problemi relativi a vari componenti nei chipset Qualcomm, migliorando la sicurezza complessiva dei dispositivi.
2. Patch di Sicurezza: La patch di sicurezza di giugno 2024 include correzioni per molte vulnerabilità critiche e ad alta gravità. Ad esempio:
   • CVE-2024-32891 (Critico, LDFW)
   • CVE-2024-32892 (Critico, Goodix)
   • CVE-2024-32899 (Critico, Mali)
   • CVE-2024-32906 (Critico, avcp)
   • CVE-2024-32908 (Critico, LDFW)
   • CVE-2024-32909 (Critico, confirmationui)

Raccomandazioni

Google raccomanda a tutti i possessori di dispositivi Pixel supportati di accettare e installare gli aggiornamenti per proteggere i loro dispositivi dalle vulnerabilità descritte. Per verificare il livello di patch di sicurezza del dispositivo, si può consultare la guida su Check and update your Android version.

Mentre Google continua a migliorare la sicurezza dei suoi dispositivi, è essenziale che gli utenti rimangano vigili e aggiornino i loro dispositivi tempestivamente per proteggersi da potenziali minacce. Questo aggiornamento di giugno rappresenta un passo significativo nella protezione contro le vulnerabilità che possono essere sfruttate attivamente.