הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית תוכנות זדוניות DeepLoad

תוכנות זדוניות DeepLoad

עד Mezo ב-תוכנה זדונית, איום מתמשך מתקדם (APT)
לתרגם ל:

קמפיין תקיפה חדש שזוהה משתמש בטכניקת הנדסה חברתית של ClickFix כדי ליזום הדבקה. הקורבנות מופעלים על ידי מניפולציה לבצע פקודות PowerShell זדוניות על ידי הדבקתן בתיבת הדו-שיח הפעלה של Windows תחת מסווה של פתרון בעיית מערכת מפוברקת. שלב ראשוני זה מנצל את mshta.exe, כלי עזר לגיטימי של Windows, כדי לאחזר ולהפעיל טוען מבוסס PowerShell מעורפל.

ערפול מהונדס לצורך התחמקות

טוען PowerShell מסתיר את ייעודו האמיתי באמצעות הקצאות משתנים מוגזמות וחסרות משמעות, דבר המסבך משמעותית את הניתוח הסטטי. ראיות מצביעות על כך שככל הנראה נעשה שימוש בכלי בינה מלאכותית לבניית שכבת ערפול זו, מה שמגביר את תחכומה. גישה זו מאפשרת לתוכנה הזדונית לעקוף מנגנוני זיהוי מסורתיים תוך שמירה על שלמות תפעולית.

הסוואה באמצעות מערכת התגנבות

DeepLoad תוכנן במיוחד להשתלב בצורה חלקה בפעולות סטנדרטיות של Windows. המטען מוסתר בתוך קובץ הרצה בשם LockAppHost.exe, תהליך לגיטימי האחראי על ניהול מסך הנעילה של Windows. כדי לטשטש עוד יותר את נוכחותו, התוכנה הזדונית משביתה את היסטוריית הפקודות של PowerShell ומפעילה ישירות פונקציות ליבה מקוריות של Windows במקום להסתמך על פקודות PowerShell סטנדרטיות. טכניקה זו מאפשרת לה להתחמק ממערכות ניטור שעוקבות אחר פעילות PowerShell.

טכניקות ללא קבצים ויצירת מטען דינמית

כדי למזער את הזיהוי, DeepLoad נמנע מהשארת ארטיפקטים עקביים בדיסק. הוא יוצר באופן דינמי רכיב משני באמצעות תכונת Add-Type של PowerShell, תוך קומפילציה של קוד C# לקובץ DLL זמני המאוחסן בספריית Temp של המשתמש. כל ביצוע מייצר קובץ בעל שם ייחודי, ובכך עוקף ביעילות שיטות זיהוי מבוססות קבצים המסתמכות על חתימות ידועות.

הזרקה מתקדמת להוצאה להורג חשאית

אסטרטגיית התחמקות מרכזית כרוכה בשימוש בהזרקת קריאה לפרוצדורות אסינכרוניות (APC). הנוזקה מפעילה תהליך Windows לגיטימי במצב מושעה, מזריקה קוד מעטפת ישירות לזיכרון שלה ומחדשת את הביצוע. שיטה זו מבטיחה שהמטען הזדוני יפעל בתוך תהליך מהימן מבלי לכתוב גרסה מפוענחת לדיסק, ובכך מפחיתה משמעותית את טביעת הרגל הפורנזית שלו.

מנגנוני גניבת אישורים מתמשכים

DeepLoad תוכנן לחלץ נתוני משתמש רגישים מיד לאחר ההפעלה. יכולותיו כוללות:

  • איסוף סיסמאות דפדפן מאוחסנות ישירות מהמערכת הנגועה
  • פריסת תוסף דפדפן זדוני שלוכד אישורים בזמן אמת במהלך ניסיונות התחברות ונשאר בשימוש לאורך כל הפעלות אלא אם כן מוסר ידנית.

    • פריסה רוחבית באמצעות מדיה נשלפת

    הנוזקה משלבת טכניקות הפצה שנועדו לנצל התקני אחסון נשלפים. לאחר זיהוי כונני USB או מדיה דומה, היא מעתיקה קבצי קיצור דרך זדוניים במסווה של תוכנות מתקינות לגיטימיות. קבצים אלה מקבלים שמות שנראים אמינים, מה שמגדיל את הסבירות לאינטראקציה עם המשתמש ולהדבקה נוספת.

    הדבקה חוזרת שקטה באמצעות שימוש לרעה ב-WMI

    DeepLoad יוצר עמידות באמצעות Windows Management Instrumentation (WMI). הוא יוצר מנויי אירועים שמפעילים זיהום חוזר לאחר עיכוב של שלושה ימים, ללא צורך באינטראקציה עם המשתמש או מעורבות התוקף. טכניקה זו גם משבשת מודלים מסורתיים של זיהוי על ידי ניתוק קשרי הורים-צאצאים צפויים.

    מטרה אסטרטגית: כיסוי מלא של שרשרת ההרג

    העיצוב הכללי של DeepLoad מצביע על מסגרת תוכנות זדוניות רב-תכליתיות המסוגלת לבצע פעולות לאורך כל שרשרת הריגת הסייבר. האסטרטגיה התפעולית שלה מתמקדת ב:

    • הימנעות מחפצים מבוססי דיסק כדי להפחית הזדמנויות לגילוי
    • שילוב פעילות זדונית בתוך תהליכי Windows לגיטימיים
    • התפשטות מהירה בין מערכות כדי להרחיב את טביעת הרגל שלה

    אינדיקטורים של מסגרת איומים ניתנת להרחבה

    התשתית והעיצוב המודולרי הקשורים ל-DeepLoad מצביעים על אפשרות של מודל פריסה משותף או מבוסס שירות. בעוד שהמאפיינים תואמים את הצעות Malware-as-a-Service (MaaS), נכון לעכשיו אין מספיק ראיות כדי לאשר באופן סופי סיווג זה.

    מגמות

    שגיאת HTTP 401 - הונאת דוא"ל עם אסימון אבטחה לא חוקי

    פישינג, ספאם
    אימיילים בלתי צפויים הדורשים פעולה מיידית הם טקטיקה נפוצה בה משתמשים פושעי סייבר כדי לתמרן נמענים תמימים. הודעות הטוענות לבעיות טכניות דחופות או בעיות חשבון מנסות לעתים קרובות ליצור פאניקה, כך שמשתמשים מגיבים מבלי לאמת את המידע. מסיבה זו, חיוני להישאר ערניים כשמתמודדים עם אימיילים לא מוכרים או מדאיגים. איום אחד כזה הוא הונאת האימייל 'HTTP Error 401 Invalid Security Token'. הודעות אלו הן חלק...

    הכי נצפה

    טוען...