Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Programe malware Programe malware DeepLoad

Programe malware DeepLoad

Până în Mezo în Programe malware, Amenințare persistentă avansată (APT)
Tradu in:

O campanie de atac recent identificată folosește tehnica de inginerie socială ClickFix pentru a iniția o infecție. Victimele sunt manipulate să execute comenzi PowerShell rău intenționate prin lipirea lor în caseta de dialog Executare Windows sub pretextul rezolvării unei probleme de sistem fabricate. Acest pas inițial utilizează mshta.exe, un utilitar Windows legitim, pentru a recupera și executa un încărcător ofuscat bazat pe PowerShell.

Obfuscare concepută pentru evaziune

Încărcătorul PowerShell își ascunde adevăratul scop prin atribuiri excesive și lipsite de sens de variabile, complicând semnificativ analiza statică. Dovezile sugerează că instrumentele de inteligență artificială au fost probabil folosite pentru a construi acest strat de ofuscare, sporindu-i sofisticarea. Această abordare permite malware-ului să ocolească mecanismele tradiționale de detectare, menținând în același timp integritatea operațională.

Camuflaj Stealth Through System

DeepLoad este special conceput pentru a se integra perfect în operațiunile standard ale Windows. Sarcina utilă este ascunsă într-un executabil numit LockAppHost.exe, un proces legitim responsabil pentru gestionarea ecranului de blocare Windows. Pentru a-i ascunde și mai mult prezența, malware-ul dezactivează istoricul comenzilor PowerShell și invocă direct funcțiile de bază native ale Windows, în loc să se bazeze pe comenzile standard PowerShell. Această tehnică îi permite să evite sistemele de monitorizare care urmăresc activitatea PowerShell.

Tehnici fără fișiere și generare dinamică de sarcină utilă

Pentru a minimiza detectarea, DeepLoad evită lăsarea unor artefacte consistente pe disc. Generează dinamic o componentă secundară folosind funcția Add-Type din PowerShell, compilând codul C# într-un fișier DLL temporar stocat în directorul Temp al utilizatorului. Fiecare execuție produce un fișier cu nume unic, ocolind efectiv metodele de detectare bazate pe fișiere care se bazează pe semnături cunoscute.

Injecție avansată pentru execuție sub acoperire

O strategie cheie de evitare a atacurilor implică utilizarea injecției de apeluri de procedură asincrone (APC). Malware-ul lansează un proces Windows legitim într-o stare suspendată, injectează cod shell direct în memoria sa și reia execuția. Această metodă asigură că sarcina utilă malițioasă rulează în cadrul unui proces de încredere fără a scrie o versiune decodificată pe disc, reducând semnificativ amprenta sa criminalistică.

Mecanisme persistente de furt de acreditări

DeepLoad este conceput pentru a extrage datele sensibile ale utilizatorilor imediat după executare. Capacitățile sale includ:

  • Recoltarea parolelor de browser stocate direct din sistemul infectat
  • Implementarea unei extensii de browser rău intenționate care captează acreditările în timp real în timpul încercărilor de conectare și persistă de la o sesiune la alta, cu excepția cazului în care este eliminată manual.

Răspândire laterală prin suporturi amovibile

Malware-ul încorporează tehnici de propagare concepute pentru a exploata dispozitivele de stocare amovibile. La detectarea unităților USB sau a suporturilor media similare, acesta copiază fișiere de comenzi rapide malițioase deghizate în programe de instalare legitime. Aceste fișiere sunt denumite pentru a părea de încredere, crescând probabilitatea interacțiunii utilizatorului și a infecțiilor ulterioare.

Reinfectare silențioasă prin abuz WMI

DeepLoad stabilește persistența folosind Windows Management Instrumentation (WMI). Creează abonamente la evenimente care declanșează reinfectarea după o întârziere de trei zile, fără a necesita interacțiunea utilizatorului sau implicarea atacatorului. Această tehnică perturbă, de asemenea, modelele tradiționale de detectare prin încălcarea relațiilor așteptate dintre procesele părinte-copil.

Obiectiv strategic: Acoperire completă a lanțului de ucidere

Designul general al DeepLoad indică un cadru de malware multifuncțional capabil să execute acțiuni pe întregul lanț cibernetic de distrugere. Strategia sa operațională se concentrează pe:

  • Evitarea artefactelor bazate pe disc pentru a reduce oportunitățile de detectare
  • Combinarea activității rău intenționate în cadrul proceselor Windows legitime
  • Se propagă rapid între sisteme pentru a-și extinde amprenta

Indicatori ai unui cadru scalabil de amenințări

Infrastructura și designul modular asociate cu DeepLoad sugerează posibilitatea unui model de implementare partajat sau bazat pe servicii. Deși caracteristicile sunt consistente cu ofertele de tip Malware-as-a-Service (MaaS), în prezent nu există suficiente dovezi pentru a confirma definitiv această clasificare.

Trending

Eroare HTTP 401 Înșelătorie prin e-mail cu token de...

phishing, Spam
E-mailurile neașteptate care necesită acțiuni imediate sunt o tactică comună utilizată de infractorii cibernetici pentru a manipula destinatarii neavizați. Mesajele care susțin probleme tehnice urgente sau probleme ale contului încearcă adesea să creeze panică, astfel încât utilizatorii să reacționeze fără a verifica informațiile. Din acest motiv, este esențial să rămâneți vigilenți atunci când...

Cele mai văzute

Se încarcă...