隐秘而又复杂的恶意软件：SSLoad

SSLoad 是一种隐秘的恶意软件，主要通过钓鱼邮件打开突破口，收集各种信息再回传给攻击者。近期，研究人员发现 SSLoad 通过诱饵 Word 文档投递恶意 DLL 文件，最终部署 Cobalt Strike。另一种攻击方式是利用钓鱼邮件诱导受害者到 Azure 页面，通过 JavaScript 脚本下载 MSI 安装程序再加载 SSLoad 其他载荷。SSLoad 是新型恶意软件，研究人员发现了许多变种。在恶意软件即服务（MaaS）领域，该恶意软件通过多样化的交付方式彰显自身的技术水平。MSI 安装程序由此安装程序开启多个 Loader 组成的攻击链，最终部署攻击者期望的 Payload。攻击链通过分析工具，可以发现安装程序要执行哪些操作：❯ msiinfo export 90f1511223698f33a086337a6875db3b5d6fbcce06f3195cdd6a8efa90091750.sample CustomAction[...]SET_APPDIR 307 APPDIR [AppDataFolder][Manufacturer]\[ProductName]LaunchFile 1026 viewer.exe C:\Windows\System32\regsv ………………………………