Rabattoffert för flera licenser
Hotdatabas Skadlig programvara DeepLoad-skadlig programvara

DeepLoad-skadlig programvara

Med Mezo år Skadlig programvara, Advanced Persistent Threat (APT)
Översätt till:

En nyligen identifierad attackkampanj använder ClickFix social engineering-teknik för att initiera infektion. Offren manipuleras att köra skadliga PowerShell-kommandon genom att klistra in dem i Windows Kör-dialogruta under förevändning att lösa ett påhittat systemproblem. Detta första steg utnyttjar mshta.exe, ett legitimt Windows-verktyg, för att hämta och köra en obfuskerad PowerShell-baserad laddare.

Förvirring konstruerad för undvikande

PowerShell-laddaren döljer sitt verkliga syfte genom överdrivna och meningslösa variabeltilldelningar, vilket avsevärt komplicerar statisk analys. Bevis tyder på att artificiell intelligens sannolikt användes för att konstruera detta obfuskeringslager, vilket ökade dess sofistikering. Denna metod gör det möjligt för skadlig kod att kringgå traditionella detekteringsmekanismer samtidigt som den bibehåller den operativa integriteten.

Stealth Through System-kamouflage

DeepLoad är specifikt utformad för att smälta in i vanliga Windows-operationer. Nyttolasten är dold i en körbar fil med namnet LockAppHost.exe, en legitim process som ansvarar för att hantera Windows låsskärm. För att ytterligare dölja dess närvaro inaktiverar skadlig programvara PowerShell-kommandohistoriken och anropar direkt inbyggda Windows-kärnfunktioner istället för att förlita sig på vanliga PowerShell-kommandon. Denna teknik gör det möjligt att kringgå övervakningssystem som spårar PowerShell-aktivitet.

Fillösa tekniker och dynamisk nyttolastgenerering

För att minimera detektering undviker DeepLoad att lämna konsekventa artefakter på disken. Den genererar dynamiskt en sekundär komponent med hjälp av PowerShells Add-Type-funktion, och kompilerar C#-kod till en tillfällig DLL-fil som lagras i användarens Temp-katalog. Varje körning producerar en unikt namngiven fil, vilket effektivt kringgår filbaserade detekteringsmetoder som förlitar sig på kända signaturer.

Avancerad injektion för hemlig avrättning

En viktig undanflyktsstrategi involverar användningen av APC-injektion (asynkron procedure call). Skadlig programvara startar en legitim Windows-process i pausat tillstånd, injicerar skalkod direkt i sitt minne och återupptar körningen. Denna metod säkerställer att den skadliga nyttolasten körs inom en betrodd process utan att skriva en avkodad version till disk, vilket avsevärt minskar dess kriminaltekniska fotavtryck.

Mekanismer för ihållande stöld av autentiseringsuppgifter

DeepLoad är konstruerat för att extrahera känslig användardata omedelbart efter körning. Dess funktioner inkluderar:

  • Insamling av lagrade webbläsarlösenord direkt från det infekterade systemet
  • Implementera ett skadligt webbläsartillägg som samlar in inloggningsuppgifter i realtid under inloggningsförsök och kvarstår i alla sessioner om det inte tas bort manuellt.

Lateral spridning via flyttbara medier

Den skadliga programvaran använder spridningstekniker utformade för att utnyttja flyttbara lagringsenheter. När den upptäcker USB-enheter eller liknande media kopierar den skadliga genvägsfiler förklädda till legitima installationsprogrammerare. Dessa filer namnges för att verka pålitliga, vilket ökar sannolikheten för användarinteraktion och ytterligare infektion.

Tyst återinfektion genom WMI-missbruk

DeepLoad etablerar persistens med hjälp av Windows Management Instrumentation (WMI). Den skapar händelseprenumerationer som utlöser återinfektion efter en fördröjning på tre dagar, utan att kräva någon användarinteraktion eller angriparens inblandning. Denna teknik stör också traditionella detekteringsmodeller genom att bryta förväntade relationer mellan överordnade och underordnade processer.

Strategiskt mål: Fullständig Kill Chain-täckning

Den övergripande designen av DeepLoad indikerar ett multifunktionellt ramverk för skadlig kod som kan utföra åtgärder över hela cyberattackkedjan. Dess operativa strategi fokuserar på:

  • Undvika diskbaserade artefakter för att minska detekteringsmöjligheterna
  • Blanda skadlig aktivitet i legitima Windows-processer
  • Snabb spridning över system för att utöka sitt fotavtryck

Indikatorer på ett skalbart hotramverk

Infrastrukturen och den modulära design som är förknippad med DeepLoad antyder möjligheten till en delad eller tjänstebaserad distributionsmodell. Även om egenskaperna överensstämmer med Malware-as-a-Service (MaaS)-erbjudanden, finns det för närvarande inte tillräckligt med bevis för att definitivt bekräfta denna klassificering.

Trendigt

Mest sedda

Läser in...