Phần mềm độc hại DeepLoad

Một chiến dịch tấn công mới được phát hiện sử dụng kỹ thuật lừa đảo ClickFix để bắt đầu lây nhiễm. Nạn nhân bị thao túng để thực thi các lệnh PowerShell độc hại bằng cách dán chúng vào hộp thoại Chạy của Windows dưới vỏ bọc giải quyết một sự cố hệ thống giả mạo. Bước đầu tiên này tận dụng mshta.exe, một tiện ích hợp pháp của Windows, để truy xuất và thực thi một trình tải dựa trên PowerShell đã được mã hóa.

Kỹ thuật che giấu được thiết kế để né tránh

Trình tải PowerShell che giấu mục đích thực sự của nó thông qua việc gán biến quá mức và vô nghĩa, làm phức tạp đáng kể việc phân tích tĩnh. Bằng chứng cho thấy các công cụ trí tuệ nhân tạo có thể đã được sử dụng để xây dựng lớp che giấu này, nâng cao độ tinh vi của nó. Cách tiếp cận này cho phép phần mềm độc hại vượt qua các cơ chế phát hiện truyền thống trong khi vẫn duy trì tính toàn vẹn hoạt động.

Tàng hình thông qua hệ thống ngụy trang

DeepLoad được thiết kế đặc biệt để hòa nhập hoàn hảo vào các hoạt động tiêu chuẩn của Windows. Phần mềm độc hại được ẩn giấu bên trong một tệp thực thi có tên LockAppHost.exe, một tiến trình hợp pháp chịu trách nhiệm quản lý màn hình khóa Windows. Để che giấu sự hiện diện của mình hơn nữa, phần mềm độc hại vô hiệu hóa lịch sử lệnh PowerShell và trực tiếp gọi các chức năng cốt lõi gốc của Windows thay vì dựa vào các lệnh PowerShell tiêu chuẩn. Kỹ thuật này cho phép nó né tránh các hệ thống giám sát theo dõi hoạt động của PowerShell.

Kỹ thuật không dùng tập tin và tạo tải trọng động

Để giảm thiểu khả năng bị phát hiện, DeepLoad tránh để lại các dấu vết nhất quán trên ổ đĩa. Nó tự động tạo ra một thành phần phụ bằng cách sử dụng tính năng Add-Type của PowerShell, biên dịch mã C# thành một tệp DLL tạm thời được lưu trữ trong thư mục Temp của người dùng. Mỗi lần thực thi sẽ tạo ra một tệp có tên duy nhất, giúp bỏ qua hiệu quả các phương pháp phát hiện dựa trên tệp tin vốn dựa vào các chữ ký đã biết.

Tiêm thuốc nâng cao để thực hiện hành vi phạm tội bí mật

Một chiến lược né tránh quan trọng liên quan đến việc sử dụng phương pháp tiêm mã gọi thủ tục bất đồng bộ (APC). Phần mềm độc hại khởi chạy một tiến trình Windows hợp pháp ở trạng thái tạm dừng, tiêm mã shellcode trực tiếp vào bộ nhớ của nó và tiếp tục thực thi. Phương pháp này đảm bảo rằng phần mềm độc hại chạy trong một tiến trình đáng tin cậy mà không ghi phiên bản đã giải mã vào ổ đĩa, làm giảm đáng kể dấu vết điều tra.

Các cơ chế đánh cắp thông tin đăng nhập dai dẳng

DeepLoad được thiết kế để trích xuất dữ liệu nhạy cảm của người dùng ngay lập tức khi được thực thi. Các khả năng của nó bao gồm:

• Thu thập mật khẩu trình duyệt được lưu trữ trực tiếp từ hệ thống bị nhiễm virus.
• Triển khai một tiện ích mở rộng trình duyệt độc hại thu thập thông tin đăng nhập theo thời gian thực trong quá trình đăng nhập và duy trì hoạt động giữa các phiên trừ khi được gỡ bỏ thủ công.

Lây lan ngang qua phương tiện lưu trữ di động

Phần mềm độc hại này sử dụng các kỹ thuật lây lan được thiết kế để khai thác các thiết bị lưu trữ di động. Khi phát hiện ổ USB hoặc các phương tiện lưu trữ tương tự, nó sẽ sao chép các tệp phím tắt độc hại được ngụy trang thành các trình cài đặt hợp pháp. Các tệp này được đặt tên để trông có vẻ đáng tin cậy, làm tăng khả năng người dùng tương tác và lây nhiễm thêm.

Tái nhiễm thầm lặng thông qua lạm dụng WMI

DeepLoad thiết lập khả năng duy trì sự hiện diện bằng cách sử dụng Windows Management Instrumentation (WMI). Nó tạo ra các đăng ký sự kiện kích hoạt quá trình tái nhiễm sau ba ngày, không cần sự tương tác của người dùng hoặc sự can thiệp của kẻ tấn công. Kỹ thuật này cũng phá vỡ các mô hình phát hiện truyền thống bằng cách phá vỡ mối quan hệ tiến trình cha-con thông thường.

Mục tiêu chiến lược: Bao phủ toàn bộ chuỗi tiêu diệt

Thiết kế tổng thể của DeepLoad cho thấy đây là một khung phần mềm độc hại đa chức năng, có khả năng thực hiện các hành động trên toàn bộ chuỗi tấn công mạng. Chiến lược hoạt động của nó tập trung vào:

• Tránh tạo các dấu vết trên ổ đĩa để giảm thiểu khả năng bị phát hiện.
• Lồng ghép hoạt động độc hại vào các quy trình Windows hợp pháp.
• Lan truyền nhanh chóng khắp các hệ thống để mở rộng phạm vi ảnh hưởng của nó.

Các dấu hiệu của một khung đe dọa có khả năng mở rộng

Cấu trúc hạ tầng và thiết kế dạng mô-đun của DeepLoad cho thấy khả năng triển khai theo mô hình chia sẻ hoặc dựa trên dịch vụ. Mặc dù các đặc điểm này phù hợp với các dịch vụ Phần mềm độc hại dưới dạng dịch vụ (MaaS), hiện tại vẫn chưa có đủ bằng chứng để khẳng định chắc chắn phân loại này.