Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware Malware DeepLoad

Malware DeepLoad

Por Mezo em Malware, Ameaça Persistente Avançada (APT)
Traduzir Para:

Uma campanha de ataque recém-identificada emprega a técnica de engenharia social ClickFix para iniciar a infecção. As vítimas são manipuladas para executar comandos maliciosos do PowerShell, colando-os na caixa de diálogo Executar do Windows sob o pretexto de resolver um problema de sistema fictício. Esta etapa inicial utiliza o mshta.exe, um utilitário legítimo do Windows, para recuperar e executar um carregador baseado em PowerShell ofuscado.

Ofuscação projetada para evasão

O carregador do PowerShell oculta seu verdadeiro propósito por meio de atribuições de variáveis excessivas e sem sentido, o que complica significativamente a análise estática. Evidências sugerem que ferramentas de inteligência artificial provavelmente foram usadas para construir essa camada de ofuscação, aumentando sua sofisticação. Essa abordagem permite que o malware burle os mecanismos de detecção tradicionais, mantendo a integridade operacional.

Furtividade por meio de camuflagem de sistema

O DeepLoad foi projetado especificamente para se integrar perfeitamente às operações padrão do Windows. O payload está oculto em um executável chamado LockAppHost.exe, um processo legítimo responsável por gerenciar a tela de bloqueio do Windows. Para ocultar ainda mais sua presença, o malware desativa o histórico de comandos do PowerShell e invoca diretamente funções nativas do Windows, em vez de usar comandos padrão do PowerShell. Essa técnica permite que ele burle sistemas de monitoramento que rastreiam a atividade do PowerShell.

Técnicas sem arquivo e geração dinâmica de carga útil

Para minimizar a detecção, o DeepLoad evita deixar artefatos consistentes no disco. Ele gera dinamicamente um componente secundário usando o recurso Add-Type do PowerShell, compilando o código C# em um arquivo DLL temporário armazenado no diretório Temp do usuário. Cada execução produz um arquivo com nome exclusivo, contornando efetivamente os métodos de detecção baseados em arquivos que dependem de assinaturas conhecidas.

Injeção Avançada para Execução Secreta

Uma estratégia fundamental de evasão envolve o uso de injeção de chamada de procedimento assíncrona (APC). O malware inicia um processo legítimo do Windows em estado suspenso, injeta shellcode diretamente em sua memória e retoma a execução. Esse método garante que a carga maliciosa seja executada dentro de um processo confiável sem gravar uma versão decodificada no disco, reduzindo significativamente seu rastro forense.

Mecanismos persistentes de roubo de credenciais

O DeepLoad foi projetado para extrair dados confidenciais do usuário imediatamente após a execução. Suas funcionalidades incluem:

  • Coletar senhas armazenadas no navegador diretamente do sistema infectado.
  • Implantação de uma extensão maliciosa para navegador que captura credenciais em tempo real durante tentativas de login e persiste entre sessões, a menos que seja removida manualmente.

Disseminação lateral por meio de meios removíveis

O malware incorpora técnicas de propagação projetadas para explorar dispositivos de armazenamento removíveis. Ao detectar unidades USB ou mídias similares, ele copia arquivos de atalho maliciosos disfarçados de instaladores legítimos. Esses arquivos são nomeados para parecerem confiáveis, aumentando a probabilidade de interação do usuário e de infecção adicional.

Reinfecção silenciosa por meio do abuso de WMI

O DeepLoad estabelece persistência usando o Windows Management Instrumentation (WMI). Ele cria assinaturas de eventos que disparam a reinfecção após um atraso de três dias, sem exigir interação do usuário ou envolvimento do atacante. Essa técnica também interrompe os modelos de detecção tradicionais, quebrando as relações esperadas entre processos pai e filho.

Objetivo estratégico: Cobertura completa da cadeia de eliminação

O design geral do DeepLoad indica uma estrutura de malware multifuncional capaz de executar ações em toda a cadeia de ataque cibernético. Sua estratégia operacional concentra-se em:

  • Evitar artefatos baseados em disco para reduzir as oportunidades de detecção.
  • Misturar atividades maliciosas com processos legítimos do Windows
  • Propagando-se rapidamente por diversos sistemas para expandir sua presença.

Indicadores de uma estrutura de ameaças escalável

A infraestrutura e o design modular associados ao DeepLoad sugerem a possibilidade de um modelo de implantação compartilhado ou baseado em serviços. Embora as características sejam consistentes com ofertas de Malware como Serviço (MaaS), atualmente não há evidências suficientes para confirmar definitivamente essa classificação.

Tendendo

Mais visto

Carregando...