Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Programari maliciós DeepLoad

Programari maliciós DeepLoad

El Mezo el Programari maliciós, Amenaça persistent avançada (APT)
Traduir a:

Una campanya d'atac recentment identificada utilitza la tècnica d'enginyeria social ClickFix per iniciar la infecció. Les víctimes són manipulades perquè executin ordres malicioses de PowerShell enganxant-les al quadre de diàleg Executar de Windows amb l'aparença de resoldre un problema de sistema fabricat. Aquest pas inicial aprofita mshta.exe, una utilitat legítima de Windows, per recuperar i executar un carregador ofuscat basat en PowerShell.

Ofuscació dissenyada per a l’evasió

El carregador de PowerShell amaga el seu veritable propòsit a través d'assignacions de variables excessives i sense sentit, cosa que complica significativament l'anàlisi estàtica. L'evidència suggereix que probablement es van utilitzar eines d'intel·ligència artificial per construir aquesta capa d'ofuscació, cosa que n'augmenta la sofisticació. Aquest enfocament permet que el programari maliciós eludeixi els mecanismes de detecció tradicionals alhora que manté la integritat operativa.

Camuflatge furtiu a través del sistema

DeepLoad està dissenyat específicament per integrar-se perfectament amb les operacions estàndard de Windows. La càrrega útil s'amaga dins d'un executable anomenat LockAppHost.exe, un procés legítim responsable de gestionar la pantalla de bloqueig de Windows. Per ocultar encara més la seva presència, el programari maliciós desactiva l'historial d'ordres de PowerShell i invoca directament les funcions bàsiques natives de Windows en lloc de confiar en les ordres estàndard de PowerShell. Aquesta tècnica li permet evadir els sistemes de supervisió que rastregen l'activitat de PowerShell.

Tècniques sense fitxers i generació dinàmica de càrrega útil

Per minimitzar la detecció, DeepLoad evita deixar artefactes consistents al disc. Genera dinàmicament un component secundari mitjançant la funció Add-Type de PowerShell, compilant codi C# en un fitxer DLL temporal emmagatzemat al directori Temp de l'usuari. Cada execució produeix un fitxer amb un nom únic, evitant eficaçment els mètodes de detecció basats en fitxers que es basen en signatures conegudes.

Injecció avançada per a execució encoberta

Una estratègia d'evasió clau implica l'ús de la injecció de crides de procediment asíncrones (APC). El programari maliciós inicia un procés legítim de Windows en estat suspès, injecta codi shell directament a la seva memòria i reprèn l'execució. Aquest mètode garanteix que la càrrega útil maliciosa s'executi dins d'un procés de confiança sense escriure una versió descodificada al disc, cosa que redueix significativament la seva petjada forense.

Mecanismes persistents de robatori de credencials

DeepLoad està dissenyat per extreure dades sensibles dels usuaris immediatament després de l'execució. Les seves capacitats inclouen:

  • Recollida de contrasenyes de navegador emmagatzemades directament del sistema infectat
  • Implementació d'una extensió de navegador maliciosa que captura credencials en temps real durant els intents d'inici de sessió i persisteix entre sessions tret que s'elimini manualment.

Propagació lateral a través de suports extraïbles

El programari maliciós incorpora tècniques de propagació dissenyades per explotar dispositius d'emmagatzematge extraïbles. En detectar unitats USB o suports similars, copia fitxers de dreceres malicioses disfressades d'instal·ladors legítims. Aquests fitxers s'anomenen per semblar fiables, cosa que augmenta la probabilitat d'interacció de l'usuari i de futures infeccions.

Reinfecció silenciosa a través de l’abús de WMI

DeepLoad estableix persistència mitjançant Windows Management Instrumentation (WMI). Crea subscripcions a esdeveniments que desencadenen la reinfecció després d'un retard de tres dies, sense necessitat d'interacció de l'usuari ni de la participació d'un atacant. Aquesta tècnica també altera els models de detecció tradicionals trencant les relacions esperades entre els processos pare-fill.

Objectiu estratègic: Cobertura completa de la cadena de morts

El disseny general de DeepLoad indica un marc de treball multifuncional contra programari maliciós capaç d'executar accions al llarg de tota la cadena de ciberassassinats. La seva estratègia operativa se centra en:

  • Evitar els artefactes basats en disc per reduir les oportunitats de detecció
  • Barreja d'activitat maliciosa dins de processos legítims de Windows
  • Propagació ràpida entre sistemes per ampliar la seva presència

Indicadors d’un marc d’amenaces escalable

La infraestructura i el disseny modular associats amb DeepLoad suggereixen la possibilitat d'un model de desplegament compartit o basat en serveis. Tot i que les característiques són consistents amb les ofertes de programari maliciós com a servei (MaaS), actualment no hi ha proves suficients per confirmar definitivament aquesta classificació.

Tendència

Error HTTP 401 Estafa de correu electrònic amb token...

Phishing, Correu brossa
Els correus electrònics inesperats que exigeixen una acció immediata són una tàctica habitual que utilitzen els ciberdelinqüents per manipular destinataris desprevinguts. Els missatges que al·leguen problemes tècnics urgents o problemes de compte sovint intenten crear pànic perquè els usuaris reaccionin sense verificar la informació. Per aquest motiu, és essencial mantenir-se alerta quan es...

Més vist

Carregant...