Шкідливе програмне забезпечення DeepLoad
Нещодавно виявлена атакуюча кампанія використовує метод соціальної інженерії ClickFix для ініціювання зараження. Жертв маніпулюють, змушуючи їх виконувати шкідливі команди PowerShell, вставляючи їх у діалогове вікно «Виконати» Windows під виглядом вирішення вигаданої системної проблеми. Цей початковий крок використовує mshta.exe, легітимну утиліту Windows, для отримання та виконання зашифрованого завантажувача на основі PowerShell.
Зміст
Заплутаність, розроблена для ухилення
Завантажувач PowerShell приховує своє справжнє призначення через надмірне та беззмістовне призначення змінних, що значно ускладнює статичний аналіз. Дані свідчать про те, що для створення цього шару обфускації, ймовірно, використовувалися інструменти штучного інтелекту, що підвищувало його складність. Такий підхід дозволяє шкідливому програмному забезпеченню обходити традиційні механізми виявлення, зберігаючи при цьому цілісність роботи.
Прихованість через системний камуфляж
DeepLoad спеціально розроблений для бездоганної інтеграції зі стандартними операціями Windows. Корисне навантаження приховано у виконуваному файлі під назвою LockAppHost.exe, легітимному процесі, який відповідає за керування екраном блокування Windows. Щоб ще більше приховати свою присутність, шкідливе програмне забезпечення вимикає історію команд PowerShell і безпосередньо викликає власні основні функції Windows, замість того, щоб покладатися на стандартні команди PowerShell. Цей метод дозволяє йому обходити системи моніторингу, які відстежують активність PowerShell.
Безфайлові методи та динамічна генерація корисного навантаження
Щоб мінімізувати виявлення, DeepLoad уникає залишення послідовних артефактів на диску. Він динамічно генерує вторинний компонент за допомогою функції Add-Type PowerShell, компілюючи код C# у тимчасовий DLL-файл, що зберігається в каталозі Temp користувача. Кожне виконання створює файл з унікальною назвою, фактично обходячи методи виявлення на основі файлів, які покладаються на відомі сигнатури.
Розширена ін'єкція для прихованого виконання
Ключова стратегія уникнення передбачає використання асинхронного виклику процедур (APC-ін'єкцій). Шкідливе програмне забезпечення запускає легітимний процес Windows у призупиненому стані, впроваджує шелл-код безпосередньо в його пам'ять та відновлює виконання. Цей метод гарантує, що шкідливе корисне навантаження виконується в межах довіреного процесу без запису декодованої версії на диск, що значно зменшує його судово-медичний слід.
Постійні механізми крадіжки облікових даних
DeepLoad розроблено для вилучення конфіденційних даних користувача одразу після виконання. Його можливості включають:
- Збір збережених паролів браузера безпосередньо із зараженої системи
Латеральне поширення через знімні носії
Це шкідливе програмне забезпечення використовує методи поширення, призначені для використання знімних носіїв інформації. Виявивши USB-накопичувачі або подібні носії, воно копіює шкідливі файли ярликів, замасковані під легітимні інсталятори. Ці файли мають назви, що здається надійними, що збільшує ймовірність взаємодії з користувачем та подальшого зараження.
Тихе повторне зараження через зловживання WMI
DeepLoad встановлює персистентність за допомогою інструментарію керування Windows (WMI). Він створює підписки на події, які запускають повторне зараження після триденної затримки, не вимагаючи взаємодії з користувачем чи участі зловмисника. Цей метод також порушує традиційні моделі виявлення, порушуючи очікувані зв'язки між батьківським та дочірнім процесами.
Стратегічна мета: Повне охоплення ланцюга вбивств
Загальний дизайн DeepLoad вказує на багатофункціональну систему шкідливого програмного забезпечення, здатну виконувати дії по всьому ланцюжку кіберзнищень. Її операційна стратегія зосереджена на:
- Уникнення артефактів на диску для зменшення можливостей виявлення
- Поєднання шкідливої активності з легітимними процесами Windows
- Швидке поширення між системами для розширення свого охоплення
Індикатори масштабованої системи загроз
Інфраструктура та модульна конструкція, пов'язані з DeepLoad, вказують на можливість спільної або сервісної моделі розгортання. Хоча характеристики відповідають пропозиціям Malware-as-a-Service (MaaS), наразі недостатньо доказів для остаточного підтвердження цієї класифікації.
