Dans un monde numérique en constante évolution, les méthodes employées par les cybercriminels pour infiltrer et compromettre les systèmes informatiques deviennent de plus en plus sophistiquées. Une récente étude de la firme de cybersécurité Intezer a mis en lumière l’utilisation d’un nouveau chargeur malveillant, baptisé PhantomLoader, destiné à distribuer le logiciel malveillant SSLoad. Zoom sur cette menace émergente et les défis qu’elle pose.
Découverte du PhantomLoader et de ses méthodes d’infection
Un mécanisme d’infection furtif
Le PhantomLoader, identifié par les experts en sécurité Nicole Fishbein et Ryan Robinson, s’insinue dans les systèmes en altérant les fichiers DLL légitimes, souvent associés à des logiciels de détection et de réponse aux menaces (EDR) ou des produits antivirus. Cette technique de patching binaire, combinée à l’utilisation de méthodes auto-modificatrices, lui permet d’échapper aux systèmes de détection traditionnels. Cette stratégie apporte une couche supplémentaire d’obscurité, rendant la détection et la neutralisation de la menace plus complexe pour les défenseurs du cyberespace.
L’arrivée sur le système hôte
Le processus d’infection débute généralement par l’exécution d’un installeur MSI qui déclenche la séquence d’infection. L’étape initiale consiste à lancer PhantomLoader sous la forme d’un module DLL de 32 bits, dissimulé sous les traits d’un composant de l’antivirus 360 Total Security. Cette tactique de déguisement complique la tâche des systèmes de sécurité informatique chargés de repérer et d’arrêter les activités malveillantes.
Analyse et propagation de SSLoad par PhantomLoader
Extraction et déploiement du logiciel malveillant
Une fois actif, PhantomLoader extrait et exécute un chargeur basé sur Rust, qui télécharge ensuite le malware SSLoad. Les communications avec le serveur de commande et de contrôle incluent l’envoi d’informations système sous forme de chaîne JSON, préparant le terrain pour l’exécution de commandes ultérieures voulant compromettre davantage le système infecté.
Techniques d’évasion et de collecte d’informations
SSLoad, grâce à diverses techniques de livraison et de dissimulation, démontre une capacité notable à réaliser des opérations de reconnaissance tout en tentant d’éviter la détection. La complexité de SSLoad est soulignée par des mesures telles que le décryptage dynamique de chaînes et des dispositifs anti-débogage, illustrant son niveau d’adaptabilité et la menace sériefe qu’il représente.
Notre firme CyberCare reste à la disposition de ses clients pour contrer de telles menaces, grâce à nos solutions de protection contre les malwares et de réponses aux incidents. Nos équipes d’experts en cybersécurité sont outillées pour détecter, analyser et neutraliser les logiciels malveillants similaires à SSLoad, assurant ainsi la sûreté de vos infrastructures informatiques.