Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware DeepLoad-malware

DeepLoad-malware

Tegen Mezo in Malware, Geavanceerde aanhoudende dreiging (APT)
Vertalen naar:

Een recent ontdekte aanvalscampagne maakt gebruik van de ClickFix-social engineeringtechniek om een infectie te initiëren. Slachtoffers worden gemanipuleerd om kwaadaardige PowerShell-opdrachten uit te voeren door ze in het Windows Uitvoeren-dialoogvenster te plakken, onder het mom van het oplossen van een verzonnen systeemprobleem. Deze eerste stap maakt gebruik van mshta.exe, een legitiem Windows-hulpprogramma, om een versleutelde, op PowerShell gebaseerde loader op te halen en uit te voeren.

Verhulling ontworpen om ontwijking te voorkomen

De PowerShell-loader verbergt zijn ware doel door overmatige en betekenisloze variabeletoewijzingen, wat statische analyse aanzienlijk bemoeilijkt. Er zijn aanwijzingen dat er waarschijnlijk gebruik is gemaakt van tools voor kunstmatige intelligentie om deze verhullingslaag te creëren, waardoor deze nog geavanceerder wordt. Deze aanpak stelt de malware in staat traditionele detectiemechanismen te omzeilen en tegelijkertijd de operationele integriteit te behouden.

Onzichtbaarheid door systeemcamouflage

DeepLoad is specifiek ontworpen om naadloos op te gaan in standaard Windows-processen. De malware is verborgen in een uitvoerbaar bestand genaamd LockAppHost.exe, een legitiem proces dat verantwoordelijk is voor het beheer van het Windows-vergrendelscherm. Om de aanwezigheid verder te verbergen, schakelt de malware de PowerShell-opdrachtgeschiedenis uit en roept rechtstreeks native Windows-kernfuncties aan in plaats van te vertrouwen op standaard PowerShell-opdrachten. Deze techniek stelt de malware in staat om monitoringsystemen die PowerShell-activiteit volgen te omzeilen.

Bestandsloze technieken en dynamische payloadgeneratie

Om detectie te minimaliseren, laat DeepLoad geen consistente artefacten achter op de schijf. Het genereert dynamisch een secundaire component met behulp van de Add-Type-functie van PowerShell, waarbij C#-code wordt gecompileerd tot een tijdelijk DLL-bestand dat wordt opgeslagen in de Temp-map van de gebruiker. Elke uitvoering produceert een bestand met een unieke naam, waardoor detectiemethoden op basis van bekende signaturen effectief worden omzeild.

Geavanceerde injectie voor heimelijke executie

Een belangrijke ontwijkingsstrategie is het gebruik van APC-injectie (Asynchronous Procedure Call). De malware start een legitiem Windows-proces in een onderbroken toestand, injecteert shellcode rechtstreeks in het geheugen en hervat de uitvoering. Deze methode zorgt ervoor dat de kwaadaardige payload binnen een vertrouwd proces draait zonder een gedecodeerde versie naar de schijf te schrijven, waardoor de forensische sporen aanzienlijk kleiner worden.

Aanhoudende mechanismen voor diefstal van inloggegevens

DeepLoad is ontworpen om gevoelige gebruikersgegevens direct na uitvoering te extraheren. De mogelijkheden omvatten:

  • Het rechtstreeks oogsten van opgeslagen browserwachtwoorden van het geïnfecteerde systeem.
  • Het implementeren van een kwaadaardige browserextensie die in realtime inloggegevens vastlegt tijdens inlogpogingen en deze gegevens bewaart tussen sessies, tenzij ze handmatig worden verwijderd.

    • Laterale verspreiding via verwijderbare media

    De malware maakt gebruik van verspreidingstechnieken die zijn ontworpen om verwijderbare opslagapparaten te misbruiken. Bij detectie van USB-drives of vergelijkbare media kopieert de malware kwaadaardige snelkoppelingen die zijn vermomd als legitieme installatieprogramma's. Deze bestanden hebben namen die betrouwbaar lijken, waardoor de kans op interactie met de gebruiker en verdere infectie toeneemt.

    Stille herinfectie door WMI-misbruik

    DeepLoad creëert persistentie met behulp van Windows Management Instrumentation (WMI). Het maakt gebeurtenisabonnementen aan die herinfectie na een vertraging van drie dagen activeren, zonder tussenkomst van de gebruiker of betrokkenheid van de aanvaller. Deze techniek verstoort ook traditionele detectiemodellen door de verwachte ouder-kind-procesrelaties te doorbreken.

    Strategisch doel: Volledige dekking van de aanvalsketen

    Het algehele ontwerp van DeepLoad duidt op een multifunctioneel malwareframework dat in staat is acties uit te voeren in de gehele cyberaanvalsketen. De operationele strategie is gericht op:

    • Het vermijden van schijfgebaseerde artefacten om de kans op detectie te verkleinen.
    • Het vermengen van kwaadaardige activiteiten met legitieme Windows-processen.
    • Verspreidt zich snel over systemen om zijn bereik uit te breiden.

    Indicatoren van een schaalbaar dreigingsraamwerk

    De infrastructuur en het modulaire ontwerp van DeepLoad suggereren de mogelijkheid van een gedeeld of servicegebaseerd implementatiemodel. Hoewel de kenmerken overeenkomen met Malware-as-a-Service (MaaS)-aanbiedingen, is er momenteel onvoldoende bewijs om deze classificatie definitief te bevestigen.

    Trending

    Meest bekeken

    Bezig met laden...