Multilicenčná zľavová ponuka
Databáza hrozieb Malvér DeepLoad škodlivý softvér

DeepLoad škodlivý softvér

Do roku Mezo v roku Malvér, Pokročilá perzistentná hrozba (APT)
Preložiť do:

Novo identifikovaná útočná kampaň využíva na spustenie infekcie techniku sociálneho inžinierstva ClickFix. Obete sú manipulované tak, aby spustili škodlivé príkazy PowerShellu, a to ich vložením do dialógového okna Spustiť systému Windows pod zámienkou riešenia vymysleného systémového problému. Tento prvý krok využíva mshta.exe, legitímny nástroj systému Windows, na načítanie a spustenie zavádzača založeného na PowerShelle.

Zahmlievanie navrhnuté pre únik

Zavádzač PowerShellu zakrýva svoj skutočný účel nadmerným a nezmyselným priraďovaním premenných, čo výrazne komplikuje statickú analýzu. Dôkazy naznačujú, že na vytvorenie tejto vrstvy zahmlievania boli pravdepodobne použité nástroje umelej inteligencie, čím sa zvýšila jej sofistikovanosť. Tento prístup umožňuje malvéru obísť tradičné detekčné mechanizmy a zároveň zachovať operačnú integritu.

Nenápadnosť prostredníctvom maskovania systému

DeepLoad je špeciálne navrhnutý tak, aby sa bezproblémovo začlenil do štandardných operácií systému Windows. Užitočné dáta sú skryté v spustiteľnom súbore s názvom LockAppHost.exe, čo je legitímny proces zodpovedný za správu uzamknutej obrazovky systému Windows. Aby malvér ešte viac zakryl svoju prítomnosť, zakáže históriu príkazov PowerShellu a priamo vyvolá natívne základné funkcie systému Windows namiesto toho, aby sa spoliehal na štandardné príkazy PowerShellu. Táto technika mu umožňuje vyhnúť sa monitorovacím systémom, ktoré sledujú aktivitu PowerShellu.

Bezsúborové techniky a dynamické generovanie užitočného zaťaženia

Aby sa minimalizovala detekcia, DeepLoad sa vyhýba ponechávaniu konzistentných artefaktov na disku. Dynamicky generuje sekundárny komponent pomocou funkcie Add-Type v PowerShelle a kompiluje kód C# do dočasného súboru DLL uloženého v adresári Temp používateľa. Každé spustenie vytvorí jedinečne pomenovaný súbor, čím efektívne obchádza metódy detekcie založené na súboroch, ktoré sa spoliehajú na známe podpisy.

Pokročilá injekcia pre tajné vykonanie

Kľúčová stratégia obchádzania zahŕňa použitie asynchrónneho volania procedúr (APC). Malvér spustí legitímny proces systému Windows v pozastavenom stave, vloží shellcode priamo do jeho pamäte a obnoví jeho vykonávanie. Táto metóda zabezpečuje, že škodlivý softvér beží v rámci dôveryhodného procesu bez zapísania dekódovanej verzie na disk, čím sa výrazne znižuje jeho forenzná stopa.

Pretrvávajúce mechanizmy krádeže poverení

DeepLoad je navrhnutý tak, aby extrahoval citlivé používateľské údaje okamžite po spustení. Jeho možnosti zahŕňajú:

  • Zber uložených hesiel prehliadača priamo z infikovaného systému
  • Nasadenie škodlivého rozšírenia prehliadača, ktoré zaznamenáva prihlasovacie údaje v reálnom čase počas pokusov o prihlásenie a pretrváva počas celej relácie, pokiaľ nie je manuálne odstránené

Laterálne šírenie prostredníctvom vymeniteľných médií

Tento škodlivý softvér obsahuje techniky šírenia určené na zneužitie vymeniteľných úložných zariadení. Po detekcii USB diskov alebo podobných médií skopíruje škodlivé súbory skratiek maskované ako legitímne inštalačné programy. Tieto súbory sú pomenované tak, aby vyzerali dôveryhodne, čím sa zvyšuje pravdepodobnosť interakcie používateľa a ďalšej infekcie.

Tichá reinfekcia prostredníctvom zneužívania WMI

DeepLoad zabezpečuje perzistenciu pomocou Windows Management Instrumentation (WMI). Vytvára odbery udalostí, ktoré spúšťajú opätovnú infekciu po trojdňovom oneskorení, pričom nevyžaduje žiadnu interakciu s používateľom ani zapojenie útočníka. Táto technika tiež narúša tradičné modely detekcie tým, že narúša očakávané vzťahy medzi procesmi rodič a dieťa.

Strategický cieľ: Úplné pokrytie reťazca zabíjania

Celkový dizajn DeepLoad naznačuje multifunkčný malware framework schopný vykonávať akcie v celom reťazci kybernetických útokov. Jeho operačná stratégia sa zameriava na:

  • Vyhýbanie sa artefaktom na disku s cieľom znížiť možnosti detekcie
  • Miešanie škodlivej aktivity v rámci legitímnych procesov systému Windows
  • Rýchle šírenie medzi systémami s cieľom rozšíriť svoju pôsobnosť

Indikátory škálovateľného rámca hrozieb

Infraštruktúra a modulárny dizajn spojený s DeepLoad naznačujú možnosť zdieľaného alebo servisne založeného modelu nasadenia. Hoci charakteristiky sú konzistentné s ponukami Malware-as-a-Service (MaaS), v súčasnosti nie je dostatok dôkazov na definitívne potvrdenie tejto klasifikácie.

Trendy

Chyba HTTP 401 Neplatný bezpečnostný token Podvodný...

Phishing, Spam
Neočakávané e-maily, ktoré vyžadujú okamžitú akciu, sú bežnou taktikou, ktorú používajú kyberzločinci na manipuláciu nič netušiacich príjemcov. Správy, ktoré tvrdia, že majú naliehavé technické problémy alebo problémy s účtom, sa často snažia vyvolať paniku, takže používatelia reagujú bez overenia informácií. Z tohto dôvodu je nevyhnutné zostať ostražití pri riešení neznámych alebo alarmujúcich...

Najviac videné

Načítava...