Rabattilbud med flere licenser
Trusseldatabase Malware DeepLoad-malware

DeepLoad-malware

Med Mezo i Malware, Advanced Persistent Threat (APT)
Oversæt til:

En nyligt identificeret angrebskampagne anvender ClickFix social engineering-teknikken til at starte infektion. Ofrene manipuleres til at udføre ondsindede PowerShell-kommandoer ved at indsætte dem i Windows Kør-dialogboksen under dække af at løse et opdigtet systemproblem. Dette første trin udnytter mshta.exe, et legitimt Windows-værktøj, til at hente og udføre en obfuskeret PowerShell-baseret loader.

Forvirring konstrueret til undvigelse

PowerShell-loaderen skjuler sit sande formål gennem overdrevne og meningsløse variabeltildelinger, hvilket komplicerer statisk analyse betydeligt. Beviser tyder på, at kunstig intelligens-værktøjer sandsynligvis blev brugt til at konstruere dette obfuskationslag, hvilket øger dets sofistikering. Denne tilgang gør det muligt for malwaren at omgå traditionelle detektionsmekanismer, samtidig med at den opretholder operationel integritet.

Stealth Through System Camouflage

DeepLoad er specifikt designet til at integreres problemfrit i standard Windows-drift. Nyttelasten er skjult i en eksekverbar fil ved navn LockAppHost.exe, en legitim proces, der er ansvarlig for at administrere Windows-låseskærmen. For yderligere at skjule dens tilstedeværelse deaktiverer malwaren PowerShell-kommandohistorikken og aktiverer direkte native Windows-kernefunktioner i stedet for at stole på standard PowerShell-kommandoer. Denne teknik gør det muligt at omgå overvågningssystemer, der sporer PowerShell-aktivitet.

Filløse teknikker og dynamisk nyttelastgenerering

For at minimere detektion undgår DeepLoad at efterlade ensartede artefakter på disken. Den genererer dynamisk en sekundær komponent ved hjælp af PowerShells Add-Type-funktion, hvor C#-kode kompileres til en midlertidig DLL-fil, der er gemt i brugerens Temp-mappe. Hver udførelse producerer en unikt navngivet fil, hvilket effektivt omgår filbaserede detektionsmetoder, der er afhængige af kendte signaturer.

Avanceret injektion til skjult henrettelse

En vigtig undvigelsesstrategi involverer brugen af APC-injektion (asynkron procedure call). Malwaren starter en legitim Windows-proces i en suspenderet tilstand, injicerer shellcode direkte i sin hukommelse og genoptager udførelsen. Denne metode sikrer, at den skadelige nyttelast kører i en betroet proces uden at skrive en dekodet version til disken, hvilket reducerer dens retsmedicinske fodaftryk betydeligt.

Mekanismer for vedvarende tyveri af legitimationsoplysninger

DeepLoad er udviklet til at udtrække følsomme brugerdata umiddelbart efter udførelse. Dens funktioner omfatter:

  • Indsamling af gemte browseradgangskoder direkte fra det inficerede system
  • Implementering af en ondsindet browserudvidelse, der indsamler legitimationsoplysninger i realtid under loginforsøg og bevarer dem på tværs af sessioner, medmindre den fjernes manuelt.

    • Lateral spredning via flytbare medier

    Malwaren anvender spredningsteknikker designet til at udnytte flytbare lagerenheder. Når den registrerer USB-drev eller lignende medier, kopierer den ondsindede genvejsfiler forklædt som legitime installationsprogrammer. Disse filer er navngivet for at virke troværdige, hvilket øger sandsynligheden for brugerinteraktion og yderligere infektion.

    Tavs geninfektion gennem WMI-misbrug

    DeepLoad etablerer persistens ved hjælp af Windows Management Instrumentation (WMI). Det opretter hændelsesabonnementer, der udløser geninfektion efter en forsinkelse på tre dage, uden at det kræver brugerinteraktion eller angriberinddragelse. Denne teknik forstyrrer også traditionelle detektionsmodeller ved at bryde forventede relationer mellem forældre og børn.

    Strategisk mål: Fuld Kill Chain-dækning

    Det overordnede design af DeepLoad indikerer et multifunktionelt malware-framework, der er i stand til at udføre handlinger på tværs af hele cyberangrebskæden. Dens operationelle strategi fokuserer på:

    • Undgå diskbaserede artefakter for at reducere mulighederne for detektion
    • Blanding af ondsindet aktivitet i legitime Windows-processer
    • Hurtig udbredelse på tværs af systemer for at udvide sit fodaftryk

    Indikatorer for en skalerbar trusselsramme

    Infrastrukturen og det modulære design, der er forbundet med DeepLoad, antyder muligheden for en delt eller tjenestebaseret implementeringsmodel. Selvom egenskaberne er i overensstemmelse med Malware-as-a-Service (MaaS)-tilbud, er der i øjeblikket ikke tilstrækkelig dokumentation til endeligt at bekræfte denne klassificering.

    Trending

    Mest sete

    Indlæser...