Slevová nabídka pro více licencí
Databáze hrozeb Malware Malware DeepLoad

Malware DeepLoad

V roce Mezo v roce Malware, Pokročilá trvalá hrozba (APT)
Přeložit do:

Nově identifikovaná útočná kampaň využívá k zahájení infekce techniku sociálního inženýrství ClickFix. Oběti jsou manipulovány k provádění škodlivých příkazů PowerShellu jejich vložením do dialogového okna Spustit systému Windows pod záminkou řešení vykonstruovaného systémového problému. Tento první krok využívá mshta.exe, legitimní nástroj systému Windows, k načtení a spuštění zaváděcího programu založeného na PowerShellu.

Zatemnění navržené pro úniky

Zavaděč PowerShellu skrývá svůj skutečný účel nadměrným a bezvýznamným přiřazováním proměnných, což výrazně komplikuje statickou analýzu. Důkazy naznačují, že k vytvoření této vrstvy obfuskace byly pravděpodobně použity nástroje umělé inteligence, což zvyšuje její sofistikovanost. Tento přístup umožňuje malwaru obejít tradiční detekční mechanismy a zároveň si zachovat provozní integritu.

Nenápadnost skrze systémové maskování

DeepLoad je speciálně navržen tak, aby se bezproblémově začlenil do standardních operací systému Windows. Užitečná část je skryta ve spustitelném souboru s názvem LockAppHost.exe, což je legitimní proces zodpovědný za správu zamykací obrazovky systému Windows. Aby malware dále zakryl svou přítomnost, zakazuje historii příkazů PowerShellu a přímo vyvolává nativní základní funkce systému Windows, místo aby se spoléhal na standardní příkazy PowerShellu. Tato technika mu umožňuje vyhnout se monitorovacím systémům, které sledují aktivitu PowerShellu.

Bezsouborové techniky a dynamické generování datových částí

Aby se minimalizovala detekce, DeepLoad se vyhýbá zanechávání konzistentních artefaktů na disku. Dynamicky generuje sekundární komponentu pomocí funkce Add-Type v PowerShellu a kompiluje kód C# do dočasného souboru DLL uloženého v adresáři Temp uživatele. Každé spuštění vytvoří jedinečně pojmenovaný soubor, čímž efektivně obchází metody detekce založené na souborech, které se spoléhají na známé signatury.

Pokročilá injekce pro skryté provedení

Klíčová strategie obcházení spočívá v použití asynchronního volání procedur (APC). Malware spustí legitimní proces Windows v pozastaveném stavu, vloží shellcode přímo do jeho paměti a obnoví jeho provádění. Tato metoda zajišťuje, že škodlivý obsah běží v rámci důvěryhodného procesu, aniž by zapisoval dekódovanou verzi na disk, což výrazně snižuje jeho forenzní dopad.

Trvalé mechanismy krádeže přihlašovacích údajů

DeepLoad je navržen tak, aby extrahoval citlivá uživatelská data okamžitě po spuštění. Mezi jeho funkce patří:

  • Sběr uložených hesel prohlížeče přímo z infikovaného systému
  • Nasazení škodlivého rozšíření prohlížeče, které zaznamenává přihlašovací údaje v reálném čase během pokusů o přihlášení a přetrvává napříč relacemi, dokud není ručně odstraněno.

Laterální šíření pomocí vyměnitelných médií

Malware využívá techniky šíření určené ke zneužití vyměnitelných úložných zařízení. Po detekci USB disků nebo podobných médií kopíruje škodlivé soubory zástupců maskované jako legitimní instalační programy. Tyto soubory jsou pojmenovány tak, aby vypadaly důvěryhodně, což zvyšuje pravděpodobnost interakce uživatele a další infekce.

Tichá reinfekce zneužitím WMI

DeepLoad zajišťují perzistenci pomocí Windows Management Instrumentation (WMI). Vytvářejí odběry událostí, které spustí reinfekci po třídenní prodlevě, aniž by vyžadovaly interakci s uživatelem ani zapojení útočníka. Tato technika také narušuje tradiční modely detekce tím, že narušuje očekávané vztahy mezi nadřazenými procesy a podřízenými procesy.

Strategický cíl: Úplné pokrytí řetězce zabíjení

Celkový design DeepLoadu naznačuje multifunkční malwarový framework schopný provádět akce v celém řetězci kybernetických útoků. Jeho operační strategie se zaměřuje na:

  • Vyhýbání se artefaktům na disku pro snížení pravděpodobnosti detekce
  • Míchání škodlivé aktivity s legitimními procesy systému Windows
  • Rychlé šíření napříč systémy pro rozšíření svého pokrytí

Indikátory škálovatelného rámce hrozeb

Infrastruktura a modulární design spojené s DeepLoadem naznačují možnost sdíleného nebo servisně orientovaného modelu nasazení. I když jsou vlastnosti shodné s nabídkami Malware-as-a-Service (MaaS), v současné době neexistuje dostatek důkazů k definitivnímu potvrzení této klasifikace.

Trendy

Chyba HTTP 401 Neplatný bezpečnostní token Podvodný...

Phishing, Spam
Neočekávané e-maily, které vyžadují okamžitou akci, jsou běžnou taktikou kyberzločinců k manipulaci s nic netušícími příjemci. Zprávy, které tvrdí, že se jedná o naléhavé technické problémy nebo problémy s účtem, se často snaží vyvolat paniku, takže uživatelé reagují bez ověření informací. Z tohoto důvodu je nezbytné zůstat ostražití při řešení neznámých nebo alarmujících e-mailů. Jednou z...

Nejvíce shlédnuto

Načítání...