Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware DeepLoad Malware

DeepLoad Malware

Nga MezoMalware, Kërcënimi i avancuar i vazhdueshëm (APT)
Përkthe në:

Një fushatë sulmi e identifikuar rishtazi përdor teknikën e inxhinierisë sociale ClickFix për të filluar infeksionin. Viktimat manipulohen që të ekzekutojnë komanda keqdashëse PowerShell duke i ngjitur ato në dialogun e Windows Run nën maskën e zgjidhjes së një problemi të sajuar të sistemit. Ky hap fillestar shfrytëzon mshta.exe, një program legjitim i Windows, për të rikuperuar dhe ekzekutuar një ngarkues të paqartë të bazuar në PowerShell.

Mjegullim i projektuar për shmangie

Ngarkuesi PowerShell fsheh qëllimin e tij të vërtetë përmes caktimeve të tepërta dhe të pakuptimta të variablave, duke e komplikuar ndjeshëm analizën statike. Provat sugjerojnë se mjetet e inteligjencës artificiale ka të ngjarë të jenë përdorur për të ndërtuar këtë shtresë errësire, duke rritur sofistikimin e saj. Kjo qasje i mundëson programit keqdashës të anashkalojë mekanizmat tradicionalë të zbulimit duke ruajtur integritetin operacional.

Sistemi i Kamuflazhit të Fshehur përmes

DeepLoad është projektuar posaçërisht për t'u përshtatur pa probleme me operacionet standarde të Windows. Ngarkesa është e fshehur brenda një skedari ekzekutues të quajtur LockAppHost.exe, një proces legjitim përgjegjës për menaxhimin e ekranit të bllokimit të Windows. Për të fshehur më tej praninë e tij, malware çaktivizon historikun e komandave PowerShell dhe thirr drejtpërdrejt funksionet bazë të Windows në vend që të mbështetet në komandat standarde të PowerShell. Kjo teknikë i lejon asaj të shmangë sistemet e monitorimit që gjurmojnë aktivitetin e PowerShell.

Teknikat pa skedarë dhe gjenerimi dinamik i ngarkesës

Për të minimizuar zbulimin, DeepLoad shmang lënien e artefakteve të qëndrueshme në disk. Ai gjeneron dinamikisht një komponent dytësor duke përdorur veçorinë Add-Type të PowerShell, duke përpiluar kodin C# në një skedar të përkohshëm DLL të ruajtur në direktorinë Temp të përdoruesit. Çdo ekzekutim prodhon një skedar me emër unik, duke anashkaluar në mënyrë efektive metodat e zbulimit të bazuara në skedarë që mbështeten në nënshkrime të njohura.

Injeksion i Avancuar për Ekzekutim të Fshehtë

Një strategji kyçe shmangieje përfshin përdorimin e injektimit të thirrjes së procedurës asinkrone (APC). Malware nis një proces legjitim të Windows në një gjendje të pezulluar, injekton shellcode direkt në kujtesën e tij dhe rifillon ekzekutimin. Kjo metodë siguron që ngarkesa keqdashëse të funksionojë brenda një procesi të besuar pa shkruar një version të dekoduar në disk, duke zvogëluar ndjeshëm gjurmën e saj mjeko-ligjore.

Mekanizmat e Vjedhjes së Kredencialeve të Vazhdueshme

DeepLoad është projektuar për të nxjerrë të dhëna të ndjeshme të përdoruesit menjëherë pas ekzekutimit. Aftësitë e tij përfshijnë:

  • Mbledhja e fjalëkalimeve të ruajtura të shfletuesit direkt nga sistemi i infektuar
  • Vendosja e një shtojce keqdashëse të shfletuesit që kap kredencialet në kohë reale gjatë përpjekjeve të hyrjes dhe vazhdon në të gjitha seancat nëse nuk hiqet manualisht.

Përhapje anësore nëpërmjet mediave të lëvizshme

Malware-i përfshin teknika përhapjeje të dizajnuara për të shfrytëzuar pajisjet e lëvizshme të ruajtjes. Me zbulimin e disqeve USB ose mediave të ngjashme, ai kopjon skedarë të shkurtesave keqdashëse të maskuar si instalues të ligjshëm. Këta skedarë emërtohen që të duken të besueshëm, duke rritur mundësinë e ndërveprimit të përdoruesit dhe infektimit të mëtejshëm.

Ri-infektimi i heshtur përmes abuzimit me WMI

DeepLoad krijon qëndrueshmëri duke përdorur Windows Management Instrumentation (WMI). Ai krijon abonime ngjarjesh që shkaktojnë riinfektim pas një vonese prej tre ditësh, duke mos kërkuar ndërveprim të përdoruesit ose përfshirje të sulmuesit. Kjo teknikë gjithashtu prish modelet tradicionale të zbulimit duke prishur marrëdhëniet e pritura të procesit prind-fëmijë.

Objektivi Strategjik: Mbulim i Plotë i Zinxhirit të Vrasjeve

Dizajni i përgjithshëm i DeepLoad tregon një strukturë shumëfunksionale të malware-it të aftë për të ekzekutuar veprime në të gjithë zinxhirin e vrasjeve kibernetike. Strategjia e saj operative përqendrohet në:

  • Shmangia e artefakteve të bazuara në disk për të zvogëluar mundësitë e zbulimit
  • Përzierja e aktivitetit dashakeq brenda proceseve legjitime të Windows
  • Duke u përhapur me shpejtësi nëpër sisteme për të zgjeruar gjurmën e saj

Treguesit e një Kornize Kërcënimi të Shkallëzueshme

Infrastruktura dhe dizajni modular i lidhur me DeepLoad sugjerojnë mundësinë e një modeli të shpërndarjes së përbashkët ose të bazuar në shërbime. Ndërsa karakteristikat janë në përputhje me ofertat Malware-as-a-Service (MaaS), aktualisht nuk ka prova të mjaftueshme për të konfirmuar përfundimisht këtë klasifikim.

Në trend

Gabim HTTP 401 Mashtrim me Email me Token Sigurie të...

Fishing, Spam
Emailet e papritura që kërkojnë veprim të menjëhershëm janë një taktikë e zakonshme e përdorur nga kriminelët kibernetikë për të manipuluar marrësit e paparashikuar. Mesazhet që pretendojnë probleme teknike urgjente ose probleme me llogarinë shpesh përpiqen të krijojnë panik në mënyrë që përdoruesit të reagojnë pa verifikuar informacionin. Për këtë arsye, është thelbësore të qëndroni vigjilentë...

Më e shikuara

Po ngarkohet...