Вредоносная программа DeepLoad
В недавно выявленной кампании кибератак используется метод социальной инженерии ClickFix для инициирования заражения. Жертв заставляют выполнять вредоносные команды PowerShell, вставляя их в диалоговое окно «Выполнить» Windows под видом решения вымышленной системной проблемы. На этом начальном этапе используется mshta.exe, легитимная утилита Windows, для получения и выполнения обфусцированного загрузчика на основе PowerShell.
Оглавление
Обфускация, разработанная для уклонения от ответственности
Загрузчик PowerShell скрывает свое истинное предназначение за счет избыточных и бессмысленных присваиваний переменных, что значительно усложняет статический анализ. Имеющиеся данные свидетельствуют о том, что для создания этого слоя обфускации, вероятно, использовались инструменты искусственного интеллекта, что повысило его сложность. Такой подход позволяет вредоносному ПО обходить традиционные механизмы обнаружения, сохраняя при этом операционную целостность.
Скрытность благодаря системной маскировке
DeepLoad специально разработан для незаметного внедрения в стандартные операции Windows. Полезная нагрузка скрыта внутри исполняемого файла LockAppHost.exe, легитимного процесса, отвечающего за управление экраном блокировки Windows. Для дальнейшей маскировки вредоносная программа отключает историю команд PowerShell и напрямую вызывает собственные функции Windows, вместо того чтобы полагаться на стандартные команды PowerShell. Этот метод позволяет ей обходить системы мониторинга, отслеживающие активность PowerShell.
Бесфайловые методы и динамическая генерация полезной нагрузки
Чтобы свести обнаружение к минимуму, DeepLoad избегает оставления на диске постоянных артефактов. Он динамически генерирует вторичный компонент, используя функцию Add-Type в PowerShell, компилируя код C# во временный DLL-файл, хранящийся в каталоге Temp пользователя. Каждое выполнение создает файл с уникальным именем, эффективно обходя методы обнаружения на основе файлов, которые полагаются на известные сигнатуры.
Усовершенствованная инъекция для тайных операций
Ключевая стратегия обхода защиты включает использование асинхронных вызовов процедур (APC). Вредоносная программа запускает легитимный процесс Windows в приостановленном состоянии, внедряет шеллкод непосредственно в его память и возобновляет выполнение. Этот метод гарантирует, что вредоносная полезная нагрузка будет выполняться внутри доверенного процесса без записи декодированной версии на диск, что значительно снижает ее следы для криминалистического анализа.
Механизмы устойчивой кражи учетных данных
DeepLoad разработан для немедленного извлечения конфиденциальных пользовательских данных сразу после запуска. Его возможности включают в себя:
- Извлечение сохраненных паролей браузера непосредственно из зараженной системы.
- Внедрение вредоносного расширения для браузера, которое перехватывает учетные данные в режиме реального времени во время попыток входа в систему и сохраняется между сессиями, если не будет удалено вручную.
Боковое распространение через удаляемые медиаторы
Вредоносная программа использует методы распространения, разработанные для использования уязвимостей съемных носителей информации. При обнаружении USB-накопителей или подобных носителей она копирует вредоносные файлы-ярлыки, замаскированные под легитимные установщики. Эти файлы названы таким образом, чтобы казаться заслуживающими доверия, что повышает вероятность взаимодействия с пользователем и дальнейшего заражения.
Скрытое повторное заражение в результате злоупотребления WMI
DeepLoad обеспечивает постоянное присутствие в системе с помощью инструментария управления Windows (WMI). Он создает подписки на события, которые запускают повторное заражение через три дня, не требуя взаимодействия с пользователем или участия злоумышленника. Этот метод также нарушает традиционные модели обнаружения, разрушая ожидаемые взаимоотношения между родительским и дочерним процессами.
Стратегическая цель: Полное покрытие цепочки поражения
Общая структура DeepLoad указывает на многофункциональную вредоносную программу, способную выполнять действия по всей цепочке кибератак. Ее оперативная стратегия сосредоточена на:
- Избегание артефактов, хранящихся на диске, позволяет снизить вероятность обнаружения.
- Внедрение вредоносной активности в легитимные процессы Windows.
- Быстро распространяясь по системам и расширяя зону своего влияния.
Индикаторы масштабируемой системы угроз
Инфраструктура и модульная конструкция DeepLoad предполагают возможность использования модели развертывания на основе совместного использования ресурсов или сервисов. Хотя характеристики соответствуют предложениям «Вредоносное ПО как услуга» (MaaS), в настоящее время недостаточно доказательств для окончательного подтверждения этой классификации.
