【安全资讯】攻击者劫持360 Total Security传播SSLoad恶意软件

概要：

近期，ANY.RUN研究人员发现一起网络攻击事件，攻击者利用360 Total Security杀毒软件传播一种名为SSLoad的Rust基础恶意软件。此攻击通过一种名为PhantomLoader的新型欺骗性加载器实现，PhantomLoader伪装成杀毒软件的合法模块，从而绕过传统安全防御，隐秘地传递SSLoad。

主要内容：

攻击的第一阶段，PhantomLoader伪装成360 Total Security的合法模块“PatchUp.exe”，有效避免了系统和用户的检测。恶意代码在合法软件主功能之前运行，利用XOR解密技术揭示隐藏在合法软件可执行文件中的恶意负载。随后，PhantomLoader通过内存分配和DLL加载等系统功能，将SSLoad加载到内存中。

在第二阶段，PhantomLoader完成任务后，解密并启动SSLoad。SSLoad是一种设计用于隐蔽的Rust基础加载器，采用多种规避技术以避免被检测。它通过解密多个字符串层来隐藏操作，并使用互斥对象确保在感染系统上仅运行一个实例，防止冲突或再感染。此外，SSLoad还收集系统详细信息，如操作系统版本和架构，以便更好地适应环境。

SSLoad还采用反分析技术，包括反调试措施，以检测是否被监控。如果检测到调试，恶意软件可能会改变行为或终止，以避免分析。这些复杂技术使得SSLoad能够隐藏其存在，进行恶意活动而不引起怀疑，从而使传统安全解决方案的检测变得困难。