DeepLoad恶意软件

一种新发现的攻击活动利用 ClickFix 社交工程技术来发起感染。攻击者诱骗受害者在 Windows 运行对话框中粘贴恶意 PowerShell 命令，并伪装成解决一个虚构的系统问题。这一初始步骤利用了合法的 Windows 实用程序 mshta.exe 来获取并执行一个经过混淆处理的基于 PowerShell 的加载程序。

为规避而精心设计的混淆

PowerShell 加载器通过大量无意义的变量赋值来掩盖其真实用途，这极大地增加了静态分析的难度。有证据表明，该混淆层很可能使用了人工智能工具构建，从而提升了其复杂性。这种方法使恶意软件能够在保持运行完整性的同时绕过传统的检测机制。

通过系统伪装实现隐身

DeepLoad 的设计旨在与标准的 Windows 操作无缝融合。其有效载荷隐藏在名为 LockAppHost.exe 的可执行文件中，而 LockAppHost.exe 本身是一个负责管理 Windows 锁屏的合法进程。为了进一步隐藏自身，该恶意软件会禁用 PowerShell 命令历史记录，并直接调用 Windows 原生核心功能，而不是依赖标准的 PowerShell 命令。这种技术使其能够绕过跟踪 PowerShell 活动的监控系统。

无文件技术和动态有效载荷生成

为了最大限度地降低被检测的风险，DeepLoad 避免在磁盘上留下任何痕迹。它使用 PowerShell 的 Add-Type 功能动态生成一个辅助组件，将 C# 代码编译成一个临时 DLL 文件，并存储在用户的 Temp 目录中。每次执行都会生成一个名称唯一的文件，从而有效地绕过了依赖已知特征码的文件检测方法。

用于隐蔽处决的高级注射

一种关键的规避策略是使用异步过程调用 (APC) 注入。恶意软件会启动一个处于挂起状态的合法 Windows 进程，将 shellcode 直接注入其内存，然后恢复执行。这种方法确保恶意载荷在可信进程中运行，而不会将解码后的版本写入磁盘，从而显著降低其取证痕迹。

持久性凭证窃取机制

DeepLoad 的设计目的是在执行后立即提取敏感用户数据。其功能包括：

• 直接从受感染的系统中窃取已存储的浏览器密码

通过可移动介质进行横向传播

该恶意软件采用专门针对可移动存储设备的传播技术。一旦检测到U盘或类似存储介质，它就会复制伪装成合法安装程序的恶意快捷方式文件。这些文件的名称经过精心设计，使其看起来可信，从而增加用户交互和进一步感染的可能性。

通过滥用WMI进行隐性再感染

DeepLoad 利用 Windows 管理规范 (WMI) 建立持久性。它创建事件订阅，在三天延迟后触发重新感染，无需用户交互或攻击者参与。该技术还破坏了传统的检测模型，因为它打破了预期的父子进程关系。

战略目标：全面覆盖杀伤链

DeepLoad 的整体设计表明它是一个多功能恶意软件框架，能够执行贯穿整个网络攻击链的操作。其运行策略侧重于：

• 避免使用基于磁盘的伪影以减少检测机会
• 将恶意活动混入合法的 Windows 进程中
• 它迅速在各个系统中传播，以扩大其影响范围。

可扩展威胁框架的指标

DeepLoad 的基础设施和模块化设计表明其可能采用共享或基于服务的部署模式。虽然其特征与恶意软件即服务 (MaaS) 产品相符，但目前尚无充分证据可以最终证实这一分类。