Оферта за отстъпка за множество лицензи
База данни за заплахи Зловреден софтуер Зловреден софтуер DeepLoad

Зловреден софтуер DeepLoad

До Mezo през Зловреден софтуер, Усъвършенствана постоянна заплаха (APT)г
Превод на:

Новоидентифицирана атакуваща кампания използва техниката на социално инженерство ClickFix, за да инициира инфекция. Жертвите са манипулирани да изпълняват злонамерени PowerShell команди, като ги поставят в диалоговия прозорец „Изпълнение“ на Windows под претекст, че разрешават измислен системен проблем. Тази първоначална стъпка използва mshta.exe, легитимна помощна програма на Windows, за да извлече и изпълни обфускиран PowerShell-базиран зареждащ файл.

Замъгляване, проектирано за избягване

PowerShell loader-ът прикрива истинското си предназначение чрез прекомерни и безсмислени присвоявания на променливи, което значително усложнява статичния анализ. Данните сочат, че вероятно са използвани инструменти за изкуствен интелект за изграждането на този слой за обфускация, повишавайки неговата сложност. Този подход позволява на зловредния софтуер да заобикаля традиционните механизми за откриване, като същевременно запазва оперативната си цялост.

Стелт чрез системна камуфлаж

DeepLoad е специално проектиран да се слее безпроблемно със стандартните операции на Windows. Полезният товар е скрит в изпълним файл с име LockAppHost.exe, легитимен процес, отговорен за управлението на заключения екран на Windows. За да прикрие допълнително присъствието си, зловредният софтуер деактивира историята на командите на PowerShell и директно извиква основните функции на Windows, вместо да разчита на стандартни команди на PowerShell. Тази техника му позволява да избегне системи за наблюдение, които проследяват активността на PowerShell.

Безфайлови техники и динамично генериране на полезен товар

За да се сведе до минимум откриването, DeepLoad избягва оставянето на постоянни артефакти на диска. Той динамично генерира вторичен компонент, използвайки функцията Add-Type на PowerShell, компилирайки C# код във временен DLL файл, съхраняван в директорията Temp на потребителя. Всяко изпълнение създава уникално именуван файл, ефективно заобикаляйки методите за откриване, базирани на файлове, които разчитат на известни сигнатури.

Разширено инжектиране за скрито изпълнение

Ключова стратегия за избягване включва използването на инжектиране на асинхронни процедурни извиквания (APC). Зловредният софтуер стартира легитимен процес на Windows в спряно състояние, инжектира шелкод директно в паметта му и възобновява изпълнението. Този метод гарантира, че злонамереният полезен товар се изпълнява в рамките на надежден процес, без да записва декодирана версия на диск, което значително намалява неговия отпечатък върху системата.

Постоянни механизми за кражба на идентификационни данни

DeepLoad е проектиран да извлича чувствителни потребителски данни веднага след изпълнението. Неговите възможности включват:

  • Събиране на съхранени пароли за браузър директно от заразената система
  • Разгръщане на злонамерено разширение за браузър, което записва идентификационни данни в реално време по време на опити за влизане и се запазва през всички сесии, освен ако не бъде премахнато ръчно

Странично разпространение чрез сменяеми носители

Зловредният софтуер включва техники за разпространение, предназначени да експлоатират сменяеми устройства за съхранение. При откриване на USB устройства или подобни носители, той копира злонамерени файлове с пряк път, маскирани като легитимни инсталатори. Тези файлове са наименувани така, че да изглеждат надеждни, което увеличава вероятността от взаимодействие с потребителя и по-нататъшно заразяване.

Тиха реинфекция чрез злоупотреба с WMI

DeepLoad установява постоянство, използвайки Windows Management Instrumentation (WMI). Той създава абонаменти за събития, които задействат повторно заразяване след тридневно забавяне, без да се изисква взаимодействие с потребителя или участието на атакуващия. Тази техника също така нарушава традиционните модели за откриване, като нарушава очакваните връзки между процесите родител-дете.

Стратегическа цел: Пълно покритие на веригата за убийства

Цялостният дизайн на DeepLoad показва многофункционална рамка за зловреден софтуер, способна да изпълнява действия по цялата верига на киберубийства. Оперативната ѝ стратегия се фокусира върху:

  • Избягване на артефакти, базирани на дискове, за намаляване на възможностите за откриване
  • Смесване на злонамерена активност в легитимни процеси на Windows
  • Бързо разпространение в различните системи, за да разшири обхвата си

Индикатори за мащабируема рамка за заплахи

Инфраструктурата и модулният дизайн, свързани с DeepLoad, предполагат възможността за споделен или базиран на услуги модел на внедряване. Въпреки че характеристиките са съвместими с предложенията „Malware-as-a-Service“ (MaaS), в момента няма достатъчно доказателства, за да се потвърди окончателно тази класификация.

Тенденция

HTTP грешка 401 Невалиден токен за сигурност Измама...

Фишинг, Спам
Неочакваните имейли, които изискват незабавни действия, са често срещана тактика, използвана от киберпрестъпниците, за да манипулират нищо неподозиращи получатели. Съобщенията, които твърдят за спешни технически проблеми или проблеми с акаунта, често се опитват да създадат паника, така че потребителите да реагират, без да проверяват информацията. Поради тази причина е важно да се запази...

Официално разширение на Giant Coupons

Потенциално нежелани програми, Рекламен софтуер
На пръв поглед, Giant Coupons Official Extension изглежда като удобно допълнение за браузър, предназначено да помогне на потребителите да намират купони и промоционални оферти, докато пазаруват...

Chainbridgeworks.co.in

Измамни уебсайтове, Рекламен софтуер, Похитители на браузъри
Поддържането на повишено внимание при навигиране в интернет е от съществено значение за защитата на личните данни, финансовата информация и сигурността на устройствата. Недобросъвестните уебсайтове...

Най-гледан

Зареждане...