Malware DeepLoad
Una campagna di attacco recentemente identificata utilizza la tecnica di ingegneria sociale ClickFix per avviare l'infezione. Le vittime vengono manipolate e indotte a eseguire comandi PowerShell dannosi incollandoli nella finestra di dialogo Esegui di Windows con il pretesto di risolvere un problema di sistema inesistente. Questo primo passaggio sfrutta mshta.exe, un'utilità legittima di Windows, per recuperare ed eseguire un loader offuscato basato su PowerShell.
Sommario
Occultamento progettato per l’elusione
Il loader PowerShell cela il suo vero scopo attraverso assegnazioni di variabili eccessive e prive di significato, complicando notevolmente l'analisi statica. Le prove suggeriscono che siano stati probabilmente utilizzati strumenti di intelligenza artificiale per costruire questo livello di offuscamento, aumentandone la sofisticatezza. Questo approccio consente al malware di eludere i tradizionali meccanismi di rilevamento mantenendo al contempo l'integrità operativa.
Sistema di mimetizzazione invisibile
DeepLoad è specificamente progettato per integrarsi perfettamente nelle normali operazioni di Windows. Il payload è nascosto all'interno di un eseguibile denominato LockAppHost.exe, un processo legittimo responsabile della gestione della schermata di blocco di Windows. Per occultare ulteriormente la sua presenza, il malware disabilita la cronologia dei comandi di PowerShell e richiama direttamente le funzioni native di Windows anziché utilizzare i comandi standard di PowerShell. Questa tecnica gli consente di eludere i sistemi di monitoraggio che tracciano l'attività di PowerShell.
Tecniche senza file e generazione dinamica del payload
Per ridurre al minimo il rilevamento, DeepLoad evita di lasciare tracce coerenti sul disco. Genera dinamicamente un componente secondario utilizzando la funzionalità Add-Type di PowerShell, compilando il codice C# in un file DLL temporaneo memorizzato nella directory Temp dell'utente. Ogni esecuzione produce un file con un nome univoco, aggirando di fatto i metodi di rilevamento basati su file che si affidano a firme note.
Iniezione avanzata per esecuzioni sotto copertura
Una strategia di elusione fondamentale prevede l'utilizzo dell'iniezione tramite chiamate di procedura asincrone (APC). Il malware avvia un processo Windows legittimo in stato sospeso, inietta shellcode direttamente nella sua memoria e riprende l'esecuzione. Questo metodo garantisce che il payload dannoso venga eseguito all'interno di un processo attendibile senza scrivere una versione decodificata su disco, riducendo significativamente le sue tracce forensi.
Meccanismi persistenti di furto di credenziali
DeepLoad è progettato per estrarre dati sensibili dell'utente immediatamente dopo l'esecuzione. Le sue funzionalità includono:
- Recupero delle password del browser memorizzate direttamente dal sistema infetto
- Installazione di un'estensione del browser dannosa che acquisisce le credenziali in tempo reale durante i tentativi di accesso e persiste tra le sessioni a meno che non venga rimossa manualmente.
Diffusione laterale tramite supporti rimovibili
Il malware incorpora tecniche di propagazione progettate per sfruttare i dispositivi di archiviazione rimovibili. Una volta rilevate unità USB o supporti simili, copia file di collegamento dannosi mascherati da programmi di installazione legittimi. Questi file hanno nomi che appaiono affidabili, aumentando la probabilità di interazione da parte dell'utente e di ulteriore infezione.
Reinfezione silenziosa tramite abuso di WMI
DeepLoad stabilisce la persistenza utilizzando Windows Management Instrumentation (WMI). Crea sottoscrizioni a eventi che attivano la reinfezione dopo un ritardo di tre giorni, senza richiedere alcuna interazione da parte dell'utente o coinvolgimento dell'attaccante. Questa tecnica, inoltre, interrompe i modelli di rilevamento tradizionali, rompendo le relazioni previste tra processi padre e figlio.
Obiettivo strategico: copertura completa della catena di uccisione
Il design complessivo di DeepLoad indica un framework malware multifunzionale in grado di eseguire azioni lungo l'intera catena di attacco informatico. La sua strategia operativa si concentra su:
- Evitare artefatti su disco per ridurre le opportunità di rilevamento
- Integrare attività dannose all'interno di processi Windows legittimi.
- Si propaga rapidamente attraverso i sistemi per espandere la sua presenza
Indicatori di un framework di gestione delle minacce scalabile
L'infrastruttura e la progettazione modulare associate a DeepLoad suggeriscono la possibilità di un modello di implementazione condiviso o basato sui servizi. Sebbene le caratteristiche siano coerenti con le offerte Malware-as-a-Service (MaaS), al momento non vi sono prove sufficienti per confermare definitivamente questa classificazione.
