Recentemente, pesquisadores de segurança Nicole Fishbein e Ryan Robinson identificaram uma nova ameaça cibernética emergente: o PhantomLoader, um carregador que está entregando o malware SSLoad. Este carregador é adicionado de forma sorrateira a uma DLL legítima, muitas vezes associada a produtos de segurança como EDR ou AV, usando técnicas de modificação binária para escapar da detecção. O SSLoad, possivelmente disponibilizado como um serviço de Malware-como-Serviço (MaaS), é disseminado através de e-mails de phishing e, uma vez infiltrado nos sistemas das vítimas, conduz reconhecimento e entrega outros tipos de malware.

Relatórios anteriores da Palo Alto Networks Unit 42 indicam que o SSLoad é utilizado para implantar o Cobalt Strike, uma ferramenta legítima de simulação de adversários frequentemente empregada para fins pós-exploração. O surgimento do SSLoad remonta a abril de 2024, e sua estratégia de infecção geralmente envolve o uso de um instalador MSI que, ao ser lançado, inicia a cadeia de infecção. O PhantomLoader, uma DLL de 32 bits escrita em C/C++, camufla-se como um módulo DLL para um software antivírus conhecido como 360 Total Security (“MenuEx.dll”), dando início ao processo de infiltração.

O SSLoad apresenta uma arquitetura complexa, com sua carga útil sendo executada em múltiplas etapas. Uma DLL de downloader baseada em Rust é responsável por extrair e executar a carga útil principal do SSLoad a partir de um servidor remoto. Os detalhes desse servidor são codificados em um canal do Telegram controlado pelo invasor, servindo como um resolutor de ponto morto. A carga útil final, também escrita em Rust, coleta informações do sistema comprometido e as envia em formato JSON para um servidor de comando e controle (C2). Posteriormente, o servidor emite comandos para baixar e instalar mais malware, consolidando assim o controle do invasor sobre o sistema comprometido.