Rabatttilbud for flere lisenser
Trusseldatabase Skadelig programvare DeepLoad-skadevare

DeepLoad-skadevare

Med Mezo i Skadelig programvare, Advanced Persistent Threat (APT)
Oversett til:

En nylig identifisert angrepskampanje bruker ClickFix-teknikken for sosial manipulering for å starte infeksjon. Ofrene manipuleres til å utføre ondsinnede PowerShell-kommandoer ved å lime dem inn i Windows Kjør-dialogboksen under dekke av å løse et fabrikkert systemproblem. Dette første trinnet utnytter mshta.exe, et legitimt Windows-verktøy, for å hente og kjøre en obfuskert PowerShell-basert laster.

Forvirring konstruert for unnvikelse

PowerShell-lasteren skjuler sitt sanne formål gjennom overdreven og meningsløs variabeltildeling, noe som kompliserer statisk analyse betydelig. Bevis tyder på at kunstig intelligens-verktøy sannsynligvis ble brukt til å konstruere dette obfuskasjonslaget, noe som forbedrer dets raffinement. Denne tilnærmingen gjør det mulig for skadevaren å omgå tradisjonelle deteksjonsmekanismer samtidig som den opprettholder driftsintegriteten.

Stealth Through System-kamuflasje

DeepLoad er spesielt utviklet for å integreres sømløst i standard Windows-operasjoner. Nyttelasten er skjult i en kjørbar fil kalt LockAppHost.exe, en legitim prosess som er ansvarlig for å administrere Windows-låseskjermen. For å skjule dens tilstedeværelse ytterligere, deaktiverer skadevaren PowerShell-kommandohistorikken og aktiverer direkte innebygde Windows-kjernefunksjoner i stedet for å stole på standard PowerShell-kommandoer. Denne teknikken lar den omgå overvåkingssystemer som sporer PowerShell-aktivitet.

Filløse teknikker og dynamisk nyttelastgenerering

For å minimere deteksjon unngår DeepLoad å legge igjen konsistente artefakter på disken. Den genererer dynamisk en sekundær komponent ved hjelp av PowerShells Add-Type-funksjon, og kompilerer C#-kode til en midlertidig DLL-fil lagret i brukerens Temp-katalog. Hver utførelse produserer en unikt navngitt fil, som effektivt omgår filbaserte deteksjonsmetoder som er avhengige av kjente signaturer.

Avansert injeksjon for skjult henrettelse

En viktig unngåelsesstrategi involverer bruk av asynkron prosedyrekall (APC) injeksjon. Skadevaren starter en legitim Windows-prosess i en suspendert tilstand, injiserer skallkode direkte i minnet og gjenopptar kjøringen. Denne metoden sikrer at den skadelige nyttelasten kjører i en klarert prosess uten å skrive en dekodet versjon til disk, noe som reduserer dens rettsmedisinske fotavtrykk betydelig.

Mekanismer for vedvarende legitimasjonstyveri

DeepLoad er konstruert for å trekke ut sensitive brukerdata umiddelbart etter kjøring. Funksjonene inkluderer:

  • Innsamling av lagrede nettleserpassord direkte fra det infiserte systemet
  • Implementering av en ondsinnet nettleserutvidelse som fanger opp påloggingsinformasjon i sanntid under påloggingsforsøk og vedvarer på tvers av økter med mindre den fjernes manuelt.

Lateral spredning via flyttbare medier

Skadevaren bruker spredningsteknikker som er utformet for å utnytte flyttbare lagringsenheter. Når den oppdager USB-stasjoner eller lignende medier, kopierer den skadelige snarveifiler forkledd som legitime installasjonsprogrammer. Disse filene er navngitt for å virke troverdige, noe som øker sannsynligheten for brukerinteraksjon og ytterligere infeksjon.

Stille reinfeksjon gjennom WMI-misbruk

DeepLoad etablerer persistens ved hjelp av Windows Management Instrumentation (WMI). Den oppretter hendelsesabonnementer som utløser reinfeksjon etter en forsinkelse på tre dager, uten å kreve brukermedvirkning eller angriperinvolvering. Denne teknikken forstyrrer også tradisjonelle deteksjonsmodeller ved å bryte forventede forhold mellom foreldre og barn-prosesser.

Strategisk mål: Fullstendig dekning av kill chain

Den overordnede utformingen av DeepLoad indikerer et multifunksjonelt rammeverk for skadelig programvare som er i stand til å utføre handlinger på tvers av hele cyber-kill-kjeden. Den operative strategien fokuserer på:

  • Unngå diskbaserte artefakter for å redusere deteksjonsmuligheter
  • Blande ondsinnet aktivitet i legitime Windows-prosesser
  • Raskt spred på tvers av systemer for å utvide fotavtrykket

Indikatorer for et skalerbart trusselrammeverk

Infrastrukturen og den modulære designen knyttet til DeepLoad antyder muligheten for en delt eller tjenestebasert distribusjonsmodell. Selv om egenskapene er konsistente med Malware-as-a-Service (MaaS)-tilbud, er det for øyeblikket ikke tilstrekkelig bevis for å definitivt bekrefte denne klassifiseringen.

Trender

Mest sett

Laster inn...