En un nuevo avance de la ciberdelincuencia, los investigadores de ANY.RUN han identificado un ataque sofisticado donde el malware PhantomLoader se disfraza de antivirus legítimo para evitar las barreras de seguridad tradicionales y comprometer los sistemas de las víctimas. Este malware actúa como un trampolín para instalar SSLoad, una amenaza basada en el lenguaje de programación Rust, conocida por su capacidad para eludir la detección y ejecutar operaciones maliciosas de forma silenciosa.
Primera fase: el phishing como puerta de entrada
El ataque inicia con un correo electrónico de phishing que contiene un documento de Word malicioso. Al abrir el archivo, se activa una macro que desencadena la cadena de infección. En una de las muestras estudiadas, la ejecución del documento activó un proceso llamado “app.com”, iniciado por “WINWORD.exe”, lo cual confirma el papel de la macro en la creación de un proceso sospechoso que da comienzo a la infección.
Segunda fase: PhantomLoader, el malware disfrazado
A continuación, PhantomLoader entra en acción, camuflándose como un componente del software de seguridad “360 Total Security”, identificado como “PatchUp.exe”. Este disfraz le permite evitar ser detectado por los antivirus tradicionales mientras descifra y carga el malware real, SSLoad, en la memoria. PhantomLoader utiliza técnicas de parcheo binario para integrarse en el software legítimo y oculta su verdadera naturaleza maliciosa, cargando código descifrado en un proceso que facilita la infiltración de SSLoad sin activar alertas de seguridad.
Tercera fase: evasión y ejecución de SSLoad
Una vez en el sistema, SSLoad despliega sus capacidades avanzadas de evasión, utilizando múltiples técnicas para eludir herramientas de análisis y entornos de seguridad virtualizados. Su código detecta si el malware está siendo monitoreado y, de ser así, puede modificar su comportamiento o finalizarse automáticamente, garantizando que su ejecución permanezca bajo el radar.
Cuarta fase: recopilación de información del sistema
Después de superar las barreras de seguridad, SSLoad explora la configuración del sistema infectado, recopilando información vital, como la versión del sistema operativo, arquitectura de red y detalles del usuario. Estos datos permiten al malware adaptar su comportamiento a diferentes entornos, maximizando el daño en sistemas de alto valor o redes corporativas.
Quinta fase: conexión con el servidor de comando y control (C2)
En esta última fase, SSLoad establece comunicación con su servidor C2, enviando una huella digital del sistema infectado que incluye datos críticos del entorno. La comunicación está cifrada, lo cual dificulta su detección o bloqueo. Una vez que el servidor responde, SSLoad obtiene una clave y un ID únicos que autentican su conexión y aseguran que solo reciba instrucciones autorizadas. A partir de aquí, el malware puede descargar más componentes, extraer información sensible o ejecutar tareas específicas de acuerdo con las órdenes recibidas.
Conclusión: la necesidad de reforzar las defensas ante amenazas avanzadas
PhantomLoader y SSLoad representan una nueva generación de amenazas donde la ingeniería de los atacantes se combina con técnicas avanzadas de evasión. Este ataque subraya la importancia de implementar medidas de seguridad robustas y educar a los usuarios para identificar intentos de phishing, así como de realizar auditorías de seguridad frecuentes para detectar comportamientos anómalos en la red. En un entorno digital cada vez más complejo, la capacidad de identificar y responder rápidamente a este tipo de amenazas se convierte en una prioridad esencial para las organizaciones y usuarios finales.
