Malware ng DeepLoad

Isang bagong natukoy na kampanya ng pag-atake ang gumagamit ng ClickFix social engineering technique upang simulan ang impeksyon. Minamanipula ang mga biktima upang isagawa ang mga malisyosong utos ng PowerShell sa pamamagitan ng pag-paste ng mga ito sa dialog ng Windows Run sa pagkukunwari ng paglutas ng isang gawa-gawang isyu sa sistema. Ginagamit ng unang hakbang na ito ang mshta.exe, isang lehitimong utility ng Windows, upang makuha at maisagawa ang isang na-obfuscate na loader na nakabatay sa PowerShell.

Obfuscation na Ginawa para sa Pag-iwas

Itinatago ng PowerShell loader ang tunay na layunin nito sa pamamagitan ng labis at walang kabuluhang mga pagtatalaga ng variable, na lubos na nagpapakomplikado sa static analysis. Ipinapahiwatig ng ebidensya na malamang na ginamit ang mga tool ng artificial intelligence upang buuin ang obfuscation layer na ito, na nagpapahusay sa sopistikasyon nito. Ang pamamaraang ito ay nagbibigay-daan sa malware na malampasan ang mga tradisyonal na mekanismo ng pagtuklas habang pinapanatili ang integridad ng operasyon.

Pagtatago sa Pamamagitan ng Pagbabalatkayo ng Sistema

Ang DeepLoad ay partikular na idinisenyo upang tuluyang maihalo sa mga karaniwang operasyon ng Windows. Ang payload ay nakatago sa loob ng isang executable na pinangalanang LockAppHost.exe, isang lehitimong proseso na responsable sa pamamahala ng lock screen ng Windows. Upang lalong maitago ang presensya nito, hindi pinapagana ng malware ang kasaysayan ng command ng PowerShell at direktang ginagamit ang mga native na core function ng Windows sa halip na umasa sa mga karaniwang command ng PowerShell. Ang pamamaraang ito ay nagbibigay-daan dito upang maiwasan ang mga sistema ng pagsubaybay na sumusubaybay sa aktibidad ng PowerShell.

Mga Teknik na Walang File at Dynamic na Pagbuo ng Payload

Para mabawasan ang pagtuklas, iniiwasan ng DeepLoad ang pag-iiwan ng mga pare-parehong artifact sa disk. Dynamic itong bumubuo ng pangalawang bahagi gamit ang feature na Add-Type ng PowerShell, na kino-compile ang C# code sa isang pansamantalang DLL file na nakaimbak sa Temp directory ng user. Ang bawat execution ay lumilikha ng isang file na may natatanging pangalan, na epektibong nilalampasan ang mga paraan ng pagtuklas na nakabatay sa file na umaasa sa mga kilalang lagda.

Advanced na Injection para sa Lihim na Pagpatay

Ang isang mahalagang estratehiya sa pag-iwas ay kinabibilangan ng paggamit ng asynchronous procedure call (APC) injection. Inilulunsad ng malware ang isang lehitimong proseso ng Windows sa isang suspendidong estado, direktang nag-iiniksyon ng shellcode sa memorya nito, at ipinagpapatuloy ang pagpapatupad. Tinitiyak ng pamamaraang ito na ang malisyosong payload ay tumatakbo sa loob ng isang pinagkakatiwalaang proseso nang hindi nagsusulat ng isang na-decode na bersyon sa disk, na makabuluhang binabawasan ang forensic footprint nito.

Mga Mekanismo ng Patuloy na Pagnanakaw ng Kredensyal

Ang DeepLoad ay dinisenyo upang kumuha agad ng sensitibong datos ng gumagamit pagkatapos ipatupad. Kabilang sa mga kakayahan nito ang:

• Pagkuha ng mga nakaimbak na password ng browser nang direkta mula sa nahawaang sistema
• Pag-deploy ng malisyosong extension ng browser na kumukuha ng mga kredensyal nang real time habang sinusubukang mag-login at nagpapatuloy sa iba't ibang session maliban kung manu-manong inalis

Pagkalat sa Lateral sa pamamagitan ng Natatanggal na Media

Ang malware ay gumagamit ng mga pamamaraan ng pagpapalaganap na idinisenyo upang pagsamantalahan ang mga naaalis na storage device. Kapag natukoy nito ang mga USB drive o katulad na media, kinokopya nito ang mga malisyosong shortcut file na nagkukunwaring mga lehitimong installer. Ang mga file na ito ay pinangalanan upang magmukhang mapagkakatiwalaan, na nagpapataas ng posibilidad ng pakikipag-ugnayan ng user at karagdagang impeksyon.

Tahimik na Muling Impeksyon sa Pamamagitan ng Pag-abuso sa WMI

Ang DeepLoad ay nagtatatag ng persistence gamit ang Windows Management Instrumentation (WMI). Lumilikha ito ng mga event subscription na magti-trigger ng reinfection pagkatapos ng tatlong araw na pagkaantala, na hindi nangangailangan ng interaksyon ng user o paglahok ng attacker. Sinisira rin ng pamamaraang ito ang mga tradisyonal na modelo ng pagtuklas sa pamamagitan ng pagsira sa inaasahang relasyon ng proseso ng magulang-anak.

Layunin sa Istratehiya: Ganap na Saklaw ng Kadena ng Pagpatay

Ang pangkalahatang disenyo ng DeepLoad ay nagpapahiwatig ng isang multi-functional na malware framework na may kakayahang magsagawa ng mga aksyon sa buong cyber kill chain. Ang estratehiya sa operasyon nito ay nakatuon sa:

• Pag-iwas sa mga artifact na nakabatay sa disk upang mabawasan ang mga pagkakataon sa pagtuklas
• Pagsasama-sama ng malisyosong aktibidad sa loob ng mga lehitimong proseso ng Windows
• Mabilis na kumakalat sa iba't ibang sistema upang mapalawak ang saklaw nito

Mga Indikasyon ng isang Scalable Threat Framework

Ang imprastraktura at modular na disenyo na nauugnay sa DeepLoad ay nagmumungkahi ng posibilidad ng isang shared o service-based na modelo ng pag-deploy. Bagama't ang mga katangian ay naaayon sa mga alok ng Malware-as-a-Service (MaaS), sa kasalukuyan ay walang sapat na ebidensya upang tiyak na kumpirmahin ang klasipikasyong ito.