DeepLoad Malware

یک کمپین حمله‌ی جدید شناسایی شده، از تکنیک مهندسی اجتماعی ClickFix برای شروع آلودگی استفاده می‌کند. قربانیان با قرار دادن دستورات مخرب PowerShell در پنجره‌ی Run ویندوز، تحت پوشش حل یک مشکل سیستمی ساختگی، برای اجرای آنها دستکاری می‌شوند. این مرحله‌ی اولیه از mshta.exe، یک ابزار قانونی ویندوز، برای بازیابی و اجرای یک لودر مبتنی بر PowerShell مبهم‌سازی شده، استفاده می‌کند.

مبهم‌سازی مهندسی‌شده برای فرار

بارگذار PowerShell هدف واقعی خود را از طریق تخصیص متغیرهای بیش از حد و بی‌معنی پنهان می‌کند و تحلیل استاتیک را به طور قابل توجهی پیچیده می‌کند. شواهد نشان می‌دهد که احتمالاً از ابزارهای هوش مصنوعی برای ساخت این لایه مبهم‌سازی استفاده شده و پیچیدگی آن را افزایش داده است. این رویکرد به بدافزار امکان می‌دهد تا ضمن حفظ یکپارچگی عملیاتی، از مکانیسم‌های تشخیص سنتی عبور کند.

مخفی‌کاری از طریق استتار سیستم

DeepLoad به طور خاص برای ترکیب یکپارچه با عملیات استاندارد ویندوز طراحی شده است. این بار داده در یک فایل اجرایی به نام LockAppHost.exe پنهان شده است، یک فرآیند قانونی که مسئول مدیریت صفحه قفل ویندوز است. برای پنهان کردن بیشتر حضور خود، این بدافزار تاریخچه دستورات PowerShell را غیرفعال می‌کند و به جای تکیه بر دستورات استاندارد PowerShell، مستقیماً توابع اصلی ویندوز را فراخوانی می‌کند. این تکنیک به آن اجازه می‌دهد تا از سیستم‌های نظارتی که فعالیت PowerShell را ردیابی می‌کنند، فرار کند.

تکنیک‌های بدون فایل و تولید پویای بار داده

برای به حداقل رساندن تشخیص، DeepLoad از به جا گذاشتن آثار باستانی ثابت روی دیسک جلوگیری می‌کند. این ابزار به صورت پویا با استفاده از ویژگی Add-Type پاورشل، یک جزء ثانویه تولید می‌کند و کد C# را در یک فایل DLL موقت که در دایرکتوری Temp کاربر ذخیره می‌شود، کامپایل می‌کند. هر اجرا یک فایل با نام منحصر به فرد تولید می‌کند و به طور مؤثر روش‌های تشخیص مبتنی بر فایل را که به امضاهای شناخته شده متکی هستند، دور می‌زند.

تزریق پیشرفته برای اجرای مخفیانه

یک استراتژی کلیدی برای فرار شامل استفاده از تزریق فراخوانی رویه ناهمزمان (APC) است. این بدافزار یک فرآیند قانونی ویندوز را در حالت تعلیق اجرا می‌کند، shellcode را مستقیماً به حافظه آن تزریق می‌کند و اجرا را از سر می‌گیرد. این روش تضمین می‌کند که بار داده مخرب در یک فرآیند قابل اعتماد و بدون نوشتن نسخه رمزگشایی شده روی دیسک اجرا می‌شود و به طور قابل توجهی ردپای پزشکی قانونی آن را کاهش می‌دهد.

مکانیسم‌های سرقت مداوم اعتبارنامه

DeepLoad به گونه‌ای مهندسی شده است که داده‌های حساس کاربر را بلافاصله پس از اجرا استخراج کند. قابلیت‌های آن عبارتند از:

• برداشت رمزهای عبور ذخیره شده مرورگر مستقیماً از سیستم آلوده
• نصب یک افزونه‌ی مرورگر مخرب که اعتبارنامه‌ها را در حین تلاش‌های ورود به سیستم به صورت آنی ضبط می‌کند و در طول جلسات ادامه می‌یابد، مگر اینکه به صورت دستی حذف شود.

گسترش جانبی از طریق رسانه قابل جابجایی

این بدافزار از تکنیک‌های انتشاری استفاده می‌کند که برای سوءاستفاده از دستگاه‌های ذخیره‌سازی قابل جابجایی طراحی شده‌اند. پس از شناسایی درایوهای USB یا رسانه‌های مشابه، فایل‌های میانبر مخرب را در قالب نصب‌کننده‌های قانونی کپی می‌کند. این فایل‌ها طوری نامگذاری می‌شوند که قابل اعتماد به نظر برسند و احتمال تعامل کاربر و آلودگی بیشتر را افزایش دهند.

آلودگی مجدد خاموش از طریق سوءاستفاده از WMI

DeepLoad با استفاده از ابزار مدیریت ویندوز (WMI) پایداری ایجاد می‌کند. این ابزار، اشتراک‌های رویدادی ایجاد می‌کند که پس از سه روز تأخیر، آلودگی مجدد را آغاز می‌کنند و نیازی به تعامل کاربر یا دخالت مهاجم ندارند. این تکنیک همچنین با شکستن روابط مورد انتظار فرآیند والد-فرزند، مدل‌های تشخیص سنتی را مختل می‌کند.

هدف استراتژیک: پوشش کامل زنجیره کشتار

طراحی کلی DeepLoad نشان‌دهنده یک چارچوب بدافزار چندمنظوره است که قادر به اجرای اقدامات در کل زنجیره کشتار سایبری است. استراتژی عملیاتی آن بر موارد زیر متمرکز است:

• اجتناب از مصنوعات مبتنی بر دیسک برای کاهش فرصت‌های تشخیص
• ترکیب فعالیت‌های مخرب با فرآیندهای مشروع ویندوز
• به سرعت در سراسر سیستم‌ها پخش می‌شود تا ردپای خود را گسترش دهد

شاخص‌های یک چارچوب تهدید مقیاس‌پذیر

زیرساخت و طراحی ماژولار مرتبط با DeepLoad، احتمال یک مدل استقرار مشترک یا مبتنی بر سرویس را نشان می‌دهد. در حالی که ویژگی‌های آن با پیشنهادات Malware-as-a-Service (MaaS) سازگار است، در حال حاضر شواهد کافی برای تأیید قطعی این طبقه‌بندی وجود ندارد.