Oferta rabatowa na wiele licencji
Baza danych zagrożeń Złośliwe oprogramowanie DeepLoad Malware

DeepLoad Malware

Do Mezo w Złośliwe oprogramowanie, Zaawansowane trwałe zagrożenie (APT)
Przetłumacz na:

Nowo zidentyfikowana kampania ataku wykorzystuje technikę socjotechniczną ClickFix do zainicjowania infekcji. Ofiary są manipulowane, aby wykonywały złośliwe polecenia programu PowerShell, wklejając je do okna dialogowego Uruchom systemu Windows pod pretekstem rozwiązania sfabrykowanego problemu systemowego. Ten początkowy krok wykorzystuje mshta.exe, legalne narzędzie systemu Windows, do pobrania i uruchomienia zamaskowanego programu ładującego opartego na programie PowerShell.

Zaciemnianie zaprojektowane w celu uniknięcia

Program ładujący PowerShell ukrywa swoje prawdziwe przeznaczenie poprzez nadmierne i bezsensowne przypisywanie zmiennych, co znacznie komplikuje analizę statyczną. Dowody sugerują, że do skonstruowania tej warstwy zaciemniającej prawdopodobnie wykorzystano narzędzia sztucznej inteligencji, co zwiększyło jej wyrafinowanie. Takie podejście umożliwia złośliwemu ominięcie tradycyjnych mechanizmów wykrywania przy jednoczesnym zachowaniu integralności operacyjnej.

System kamuflażu Stealth Through

DeepLoad został zaprojektowany specjalnie z myślą o płynnym wkomponowaniu się w standardowe operacje systemu Windows. Ładunek jest ukryty w pliku wykonywalnym o nazwie LockAppHost.exe, legalnym procesie odpowiedzialnym za zarządzanie ekranem blokady systemu Windows. Aby dodatkowo ukryć swoją obecność, złośliwe oprogramowanie wyłącza historię poleceń programu PowerShell i bezpośrednio wywołuje natywne funkcje rdzenia systemu Windows, zamiast polegać na standardowych poleceniach programu PowerShell. Ta technika pozwala mu ominąć systemy monitorujące aktywność programu PowerShell.

Techniki bezplikowe i dynamiczne generowanie ładunku

Aby zminimalizować ryzyko wykrycia, DeepLoad unika pozostawiania spójnych artefaktów na dysku. Dynamicznie generuje komponent dodatkowy za pomocą funkcji Add-Type programu PowerShell, kompilując kod C# do tymczasowego pliku DLL przechowywanego w katalogu Temp użytkownika. Każde uruchomienie generuje plik o unikatowej nazwie, skutecznie omijając metody wykrywania plików oparte na znanych sygnaturach.

Zaawansowane wstrzykiwanie w celu tajnego wykonania

Kluczową strategią unikania ataków jest wykorzystanie metody asynchronicznego wywołania procedury (APC). Szkodliwe oprogramowanie uruchamia legalny proces systemu Windows w stanie zawieszenia, wstrzykuje kod powłoki bezpośrednio do jego pamięci i wznawia wykonywanie. Ta metoda gwarantuje, że złośliwy ładunek działa w zaufanym procesie bez zapisywania zdekodowanej wersji na dysku, co znacznie zmniejsza jego rozmiar w analizie kryminalistycznej.

Mechanizmy uporczywej kradzieży danych uwierzytelniających

DeepLoad został zaprojektowany tak, aby natychmiast po uruchomieniu wyodrębniać poufne dane użytkownika. Jego możliwości obejmują:

  • Zbieranie zapisanych haseł przeglądarki bezpośrednio z zainfekowanego systemu
  • Wdrożenie złośliwego rozszerzenia przeglądarki, które przechwytuje dane uwierzytelniające w czasie rzeczywistym podczas prób logowania i pozostaje aktywne przez wiele sesji, chyba że zostanie ręcznie usunięte

    • Rozprzestrzenianie boczne za pomocą nośników wymiennych

    Szkodliwe oprogramowanie wykorzystuje techniki propagacji, mające na celu wykorzystanie wymiennych urządzeń pamięci masowej. Po wykryciu dysków USB lub podobnych nośników, kopiuje złośliwe pliki skrótów podszywające się pod legalne instalatory. Pliki te mają nazwy, które sprawiają wrażenie godnych zaufania, co zwiększa prawdopodobieństwo interakcji użytkownika i dalszej infekcji.

    Cicha ponowna infekcja poprzez nadużycie WMI

    DeepLoad ustanawia trwałość za pomocą Instrumentacji Zarządzania Windows (WMI). Tworzy subskrypcje zdarzeń, które wyzwalają ponowną infekcję po trzech dniach, bez konieczności interakcji użytkownika ani ingerencji atakującego. Technika ta zakłóca również tradycyjne modele wykrywania, przerywając oczekiwane relacje między procesami nadrzędnymi i podrzędnymi.

    Cel strategiczny: pełne pokrycie łańcucha zabójstw

    Ogólny projekt DeepLoad wskazuje na wielofunkcyjną strukturę złośliwego oprogramowania, zdolną do wykonywania działań w całym cybernetycznym łańcuchu ataków. Strategia operacyjna DeepLoad koncentruje się na:

    • Unikanie artefaktów na dysku w celu zmniejszenia możliwości wykrycia
    • Łączenie szkodliwej aktywności z legalnymi procesami systemu Windows
    • Szybko rozprzestrzenia się w systemach, aby rozszerzyć swój zasięg

    Wskaźniki skalowalnej struktury zagrożeń

    Infrastruktura i modułowa konstrukcja DeepLoad sugerują możliwość wdrożenia modelu współdzielonego lub opartego na usługach. Chociaż charakterystyka jest zgodna z rozwiązaniami Malware-as-a-Service (MaaS), obecnie brakuje wystarczających dowodów, aby ostatecznie potwierdzić tę klasyfikację.

    Popularne

    Błąd HTTP 401 – Nieprawidłowy token bezpieczeństwa –...

    Phishing, Spam
    Nieoczekiwane wiadomości e-mail, które wymagają natychmiastowego działania, to powszechna taktyka stosowana przez cyberprzestępców do manipulowania niczego niepodejrzewającymi odbiorcami. Wiadomości z doniesieniami o pilnych problemach technicznych lub problemach z kontem często próbują wywołać panikę, aby użytkownicy zareagowali bez weryfikacji informacji. Z tego powodu należy zachować...

    Najczęściej oglądane

    Ładowanie...