Monen lisenssin alennustarjous
Uhatietokanta Haittaohjelma DeepLoad-haittaohjelma

DeepLoad-haittaohjelma

Vuonna Mezo vuonna Haittaohjelma, Advanced Persistent Threat (APT)
Käännä:

Äskettäin tunnistetussa hyökkäyskampanjassa käytetään ClickFix-nimistä sosiaalisen manipuloinnin tekniikkaa tartunnan aloittamiseen. Uhrit manipuloidaan suorittamaan haitallisia PowerShell-komentoja liittämällä ne Windowsin Suorita-valintaikkunaan tekaistun järjestelmäongelman ratkaisemisen varjolla. Tässä ensimmäisessä vaiheessa hyödynnetään laillista Windows-apuohjelmaa mshta.exe:tä, joka hakee ja suorittaa hämärretyn PowerShell-pohjaisen latausohjelman.

Hämärtäminen suunniteltu pakenemista varten

PowerShell-lataaja peittää todellisen tarkoituksensa liiallisilla ja merkityksettömillä muuttujien määrityksillä, mikä vaikeuttaa merkittävästi staattista analyysia. Todisteet viittaavat siihen, että tämän hämärryskerroksen rakentamiseen on todennäköisesti käytetty tekoälytyökaluja, mikä on lisännyt sen hienostuneisuutta. Tämä lähestymistapa mahdollistaa haittaohjelman ohittaa perinteiset tunnistusmekanismit säilyttäen samalla toiminnallisen eheyden.

Häivejärjestelmä naamioinnin läpi

DeepLoad on erityisesti suunniteltu sulautumaan saumattomasti Windowsin vakiotoimintoihin. Hyötysisältö on piilotettu LockAppHost.exe-nimiseen suoritettavaan tiedostoon, joka on laillinen prosessi, joka hallinnoi Windowsin lukitusnäyttöä. Hämärtääkseen sen läsnäoloa entisestään haittaohjelma poistaa PowerShell-komentohistorian käytöstä ja käynnistää suoraan Windowsin natiiveja ydintoimintoja sen sijaan, että se käyttäisi vakio-PowerShell-komentoja. Tämän tekniikan avulla se voi kiertää PowerShell-toimintaa seuraavat valvontajärjestelmät.

Tiedostottomat tekniikat ja dynaaminen hyötykuorman generointi

Havaitsemisen minimoimiseksi DeepLoad välttää yhtenäisten artefaktien jättämisen levylle. Se luo dynaamisesti toissijaisen komponentin PowerShellin Add-Type-ominaisuuden avulla ja kääntää C#-koodia väliaikaiseksi DLL-tiedostoksi, joka tallennetaan käyttäjän Temp-hakemistoon. Jokainen suoritus tuottaa yksilöllisesti nimetyn tiedoston, ohittaen tehokkaasti tiedostopohjaiset tunnistusmenetelmät, jotka perustuvat tunnettuihin allekirjoituksiin.

Edistynyt injektio peiteltyä teloitusta varten

Keskeinen väistöstrategia sisältää asynkronisen proseduurikutsujen (APC) injektion käytön. Haittaohjelma käynnistää laillisen Windows-prosessin keskeytetyssä tilassa, lisää komentokoodia suoraan sen muistiin ja jatkaa suoritusta. Tämä menetelmä varmistaa, että haitallinen hyötykuorma suoritetaan luotettavan prosessin sisällä kirjoittamatta dekoodattua versiota levylle, mikä vähentää merkittävästi sen rikosteknistä jalanjälkeä.

Jatkuvat tunnistetietojen varkausmekanismit

DeepLoad on suunniteltu poimimaan arkaluonteisia käyttäjätietoja välittömästi suorituksen jälkeen. Sen ominaisuuksiin kuuluvat:

  • Tallennettujen selainsalasanojen kerääminen suoraan tartunnan saaneesta järjestelmästä
  • Haitallisen selainlaajennuksen käyttöönotto, joka tallentaa tunnistetiedot reaaliajassa kirjautumisyritysten aikana ja pysyy tallessa istuntojen välillä, ellei sitä poisteta manuaalisesti.

Sivuttainen levitys irrotettavan tallennusvälineen kautta

Haittaohjelma sisältää levitystekniikoita, jotka on suunniteltu hyödyntämään irrotettavia tallennuslaitteita. Havaittuaan USB-muistitikut tai vastaavat mediat se kopioi haitallisia pikakuvakkeita, jotka on naamioitu laillisiksi asennusohjelmiksi. Nämä tiedostot on nimetty näyttämään luotettavilta, mikä lisää käyttäjän toimia ja lisätartunnan todennäköisyyttä.

Hiljainen uudelleentartunta WMI-väärinkäytön kautta

DeepLoad muodostaa pysyvyyden Windows Management Instrumentationin (WMI) avulla. Se luo tapahtumatilauksia, jotka käynnistävät uudelleentartunnan kolmen päivän viiveen jälkeen ilman käyttäjän toimia tai hyökkääjän osallistumista. Tämä tekniikka häiritsee myös perinteisiä tunnistusmalleja rikkomalla odotetut vanhemman ja lapsen prosessien suhteet.

Strateginen tavoite: Täydellinen tappoketjun kattavuus

DeepLoadin yleinen suunnittelu viittaa monitoimiseen haittaohjelmakehykseen, joka kykenee suorittamaan toimia koko kyberhyökkäysketjussa. Sen operatiivinen strategia keskittyy seuraaviin:

  • Levypohjaisten artefaktien välttäminen havaitsemismahdollisuuksien vähentämiseksi
  • Haitallisen toiminnan yhdistäminen laillisiin Windows-prosesseihin
  • Nopea leviäminen eri järjestelmissä jalanjälkensä laajentamiseksi

Skaalautuvan uhkakehyksen indikaattorit

DeepLoadiin liittyvä infrastruktuuri ja modulaarinen suunnittelu viittaavat jaetun tai palvelupohjaisen käyttöönottomallin mahdollisuuteen. Vaikka ominaisuudet ovat yhdenmukaisia Malware-as-a-Service (MaaS) -tarjousten kanssa, tällä hetkellä ei ole riittävästi näyttöä tämän luokituksen lopulliseksi vahvistamiseksi.

Trendaavat

HTTP-virhe 401 Virheellinen suojaustunnus...

Tietojenkalastelu, Roskaposti
Odottamattomat sähköpostit, jotka vaativat välittömiä toimia, ovat yleinen taktiikka, jota kyberrikolliset käyttävät manipuloidakseen tietämättömiä vastaanottajia. Viestit, jotka väittävät olevansa kiireellisiä teknisiä ongelmia tai tiliongelmia, yrittävät usein luoda paniikkia, jotta käyttäjät reagoisivat tarkistamatta tietoja. Tästä syystä on tärkeää pysyä valppaana käsitellessään...

Eniten katsottu

Ladataan...