Попуст за више лиценци
Тхреат Датабасе Малваре Злонамерни софтвер DeepLoad

Злонамерни софтвер DeepLoad

До Mezo. у Малваре, Напредна трајна претња (АПТ)
Преведи на:

Новоидентификована кампања напада користи технику социјалног инжењеринга ClickFix за покретање инфекције. Жртве се манипулишу да извршавају злонамерне PowerShell команде тако што их налепљују у Windows дијалог „Покрени“ под маском решавања измишљеног системског проблема. Овај почетни корак користи mshta.exe, легитимни Windows услужни програм, за преузимање и извршавање замаскираног PowerShell-базираног програма за учитавање.

Замагљивање осмишљено за избегавање

PowerShell учитавач прикрива своју праву сврху кроз прекомерне и бесмислене доделе променљивих, значајно компликујући статичку анализу. Докази указују на то да су алати вештачке интелигенције вероватно коришћени за конструисање овог слоја замагљивања, повећавајући његову софистицираност. Овај приступ омогућава злонамерном софтверу да заобиђе традиционалне механизме детекције, а да притом одржи оперативни интегритет.

Прикривеност кроз системску камуфлажу

DeepLoad је посебно дизајниран да се беспрекорно уклопи у стандардне Windows операције. Корисни терет је скривен унутар извршне датотеке под називом LockAppHost.exe, легитимног процеса одговорног за управљање закључаним екраном Windows-а. Да би додатно прикрио своје присуство, злонамерни софтвер онемогућава историју PowerShell команди и директно позива изворне основне функције Windows-а уместо да се ослања на стандардне PowerShell команде. Ова техника му омогућава да избегне системе за праћење који прате PowerShell активност.

Технике без датотека и генерисање динамичког корисног терета

Да би се минимизирало откривање, DeepLoad избегава остављање конзистентних артефаката на диску. Динамички генерише секундарну компоненту користећи PowerShell-ову функцију Add-Type, компајлирајући C# код у привремену DLL датотеку сачувану у корисничком Temp директоријуму. Свако извршавање производи јединствено именовану датотеку, ефикасно заобилазећи методе откривања засноване на датотекама које се ослањају на познате потписе.

Напредна инјекција за тајно извршење

Кључна стратегија избегавања укључује употребу асинхроног позива процедура (APC) убризгавања. Злонамерни софтвер покреће легитимни Windows процес у суспендованом стању, убризгава шелкод директно у његову меморију и наставља извршавање. Ова метода осигурава да се злонамерни садржај покреће унутар поузданог процеса без писања декодиране верзије на диск, значајно смањујући његов форензички отисак.

Упорни механизми крађе акредитива

DeepLoad је пројектован да одмах по извршавању издвоји осетљиве корисничке податке. Његове могућности укључују:

  • Прикупљање сачуваних лозинки прегледача директно са зараженог система
  • Примена злонамерног проширења прегледача које бележи акредитиве у реалном времену током покушаја пријављивања и остаје задржано током сесија осим ако се ручно не уклони

Латерално ширење путем преносивих медија

Злонамерни софтвер укључује технике ширења дизајниране да злоупотребе преносиве уређаје за складиштење. Након откривања USB дискова или сличних медија, копира злонамерне датотеке пречица прикривене као легитимне инсталатере. Ове датотеке су именоване тако да изгледају поуздано, што повећава вероватноћу интеракције корисника и даље инфекције.

Тиха реинфекција путем злоупотребе WMI-ја

DeepLoad успоставља перзистентност користећи Windows Management Instrumentation (WMI). Креира претплате на догађаје које покрећу поновну инфекцију након кашњења од три дана, не захтевајући интеракцију корисника или учешће нападача. Ова техника такође ремети традиционалне моделе детекције прекидајући очекиване односе између процеса родитељ-дете.

Стратешки циљ: Потпуна покривеност ланца убијања

Укупан дизајн DeepLoad-а указује на мултифункционални оквир за злонамерни софтвер способан да извршава акције у целом ланцу сајбер убијања. Његова оперативна стратегија фокусира се на:

  • Избегавање артефаката на диску ради смањења могућности откривања
  • Уклапање злонамерних активности у легитимне Windows процесе
  • Брзо се шири кроз системе како би проширио свој отисак

Индикатори скалабилног оквира претњи

Инфраструктура и модуларни дизајн повезани са DeepLoad-ом указују на могућност дељеног или сервисно заснованог модела распоређивања. Иако су карактеристике у складу са понудама „малвер као услуга“ (MaaS), тренутно нема довољно доказа да би се дефинитивно потврдила ова класификација.

У тренду

HTTP грешка 401 Неважећи безбедносни токен Превара...

Пецање, Спам
Неочекивани имејлови који захтевају хитну акцију су уобичајена тактика коју користе сајбер криминалци да би манипулисали неслутећим примаоцима. Поруке које тврде да постоје хитни технички проблеми или проблеми са налогом често покушавају да створе панику, тако да корисници реагују без провере информација. Из тог разлога је неопходно остати опрезан када се бавите непознатим или алармантним...

Најгледанији

Учитавање...