Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Malware DeepLoad kártevő

DeepLoad kártevő

Mezo -ra Malware, Advanced Persistent Threat (APT)-ben
Fordítás ide:

Egy újonnan azonosított támadási kampány a ClickFix pszichológiai manipulációs technikát alkalmazza a fertőzés megindításához. Az áldozatokat manipulálva rosszindulatú PowerShell parancsok végrehajtására kényszerítik azokat a Windows Futtatás párbeszédpaneljébe beillesztve, egy kitalált rendszerhiba megoldásának álcája alatt. Ez a kezdeti lépés az mshta.exe nevű legitim Windows segédprogramot használja ki egy obfuszkált PowerShell-alapú betöltő lekérésére és végrehajtására.

Könnyű titkolózás a kijátszásra tervezve

A PowerShell betöltő túlzott és értelmetlen változó-hozzárendelésekkel leplezi valódi célját, ami jelentősen bonyolítja a statikus elemzést. A bizonyítékok arra utalnak, hogy valószínűleg mesterséges intelligencia eszközöket használtak ennek az obfuszkációs rétegnek a létrehozásához, növelve annak kifinomultságát. Ez a megközelítés lehetővé teszi a rosszindulatú program számára, hogy megkerülje a hagyományos észlelési mechanizmusokat, miközben megőrzi a működési integritást.

Lopakodás a rendszer álcázásán keresztül

A DeepLoad-ot kifejezetten úgy tervezték, hogy zökkenőmentesen illeszkedjen a Windows szabványos műveleteibe. A hasznos fájl egy LockAppHost.exe nevű futtatható fájlban rejtőzik, amely egy legitim folyamat, amely a Windows zárolási képernyőjének kezeléséért felelős. Jelenlétének további elrejtése érdekében a rosszindulatú program letiltja a PowerShell parancselőzményeit, és közvetlenül meghívja a natív Windows alapfunkciókat a szabványos PowerShell parancsok helyett. Ez a technika lehetővé teszi, hogy megkerülje a PowerShell-tevékenységet nyomon követő figyelőrendszereket.

Fájl nélküli technikák és dinamikus hasznos tehergenerálás

A detektálás minimalizálása érdekében a DeepLoad elkerüli, hogy konzisztens műtermékek maradjanak a lemezen. Dinamikusan generál egy másodlagos komponenst a PowerShell Add-Type funkciójával, amely a C# kódot egy ideiglenes DLL fájlba fordítja, amely a felhasználó Temp könyvtárában tárolódik. Minden végrehajtás egyedileg elnevezett fájlt hoz létre, hatékonyan megkerülve a fájlalapú detektálási módszereket, amelyek ismert aláírásokon alapulnak.

Fejlett befecskendezés titkos kivégzéshez

Egy kulcsfontosságú elkerülési stratégia az aszinkron eljáráshívás (APC) injekció használata. A rosszindulatú program felfüggesztett állapotban indít el egy legitim Windows folyamatot, közvetlenül a memóriájába injektál egy shellkódot, majd folytatja a végrehajtást. Ez a módszer biztosítja, hogy a rosszindulatú hasznos adat egy megbízható folyamaton belül fusson anélkül, hogy dekódolt verziót írna lemezre, jelentősen csökkentve ezzel a forenzikus lábnyomát.

Állandó hitelesítőadat-lopási mechanizmusok

A DeepLoad úgy lett kialakítva, hogy a végrehajtás után azonnal kinyerje az érzékeny felhasználói adatokat. Képességei többek között:

  • Tárolt böngészőjelszavak kinyerése közvetlenül a fertőzött rendszerből
  • Egy rosszindulatú böngészőbővítmény telepítése, amely valós időben rögzíti a hitelesítő adatokat a bejelentkezési kísérletek során, és a munkamenetek között is megőrzi magát, hacsak manuálisan el nem távolítják.

Oldalirányú terjedés cserélhető adathordozón keresztül

A rosszindulatú program olyan terjedési technikákat alkalmaz, amelyek célja a cserélhető adattároló eszközök kihasználása. USB-meghajtók vagy hasonló adathordozók észlelése esetén rosszindulatú parancsikonokat másol, amelyek legitim telepítőknek álcázva vannak. Ezeket a fájlokat úgy nevezik el, hogy megbízhatónak tűnjenek, növelve a felhasználói interakció és a további fertőzés valószínűségét.

Csendes újrafertőzés WMI-visszaélés révén

A DeepLoad a Windows Management Instrumentation (WMI) segítségével hoz létre perzisztenciát. Esemény-előfizetéseket hoz létre, amelyek három napos késleltetés után újrafertőzést indítanak el, felhasználói beavatkozás vagy támadó beavatkozás nélkül. Ez a technika a várt szülő-gyermek folyamatkapcsolatok megszakításával a hagyományos észlelési modelleket is megzavarja.

Stratégiai cél: Teljes körű gyilkossági lánc lefedettség

A DeepLoad átfogó kialakítása egy többfunkciós kártevő-keretrendszert sugall, amely képes műveleteket végrehajtani a teljes kibertámadási láncban. Műveleti stratégiája a következőkre összpontosít:

  • A lemezen található műtermékek elkerülése a felderítési lehetőségek csökkentése érdekében
  • Kártékony tevékenységek beépítése legitim Windows folyamatokba
  • Gyorsan terjed a rendszerek között a lábnyom növelése érdekében

Skálázható fenyegetési keretrendszer indikátorai

A DeepLoadhoz kapcsolódó infrastruktúra és moduláris felépítés egy megosztott vagy szolgáltatásalapú telepítési modell lehetőségét sugallja. Bár a jellemzők összhangban vannak a Malware-as-a-Service (MaaS) ajánlatokkal, jelenleg nincs elegendő bizonyíték e besorolás végleges megerősítésére.

Felkapott

HTTP hiba 401 Érvénytelen biztonsági token e-mailes...

Adathalászat, Spam
A váratlan, azonnali cselekvést követelő e-mailek gyakori taktikája a kiberbűnözők által a gyanútlan címzettek manipulálására. A sürgős technikai problémákra vagy fiókproblémákra hivatkozó üzenetek gyakran pánikot próbálnak kelteni, így a felhasználók az információk ellenőrzése nélkül reagálnak. Ezért elengedhetetlen, hogy éber maradjunk, amikor ismeretlen vagy riasztó e-mailekkel foglalkozunk....

Legnézettebb

Betöltés...