DeepLoad惡意軟體

一種新發現的攻擊活動利用 ClickFix 社交工程技術來發動感染。攻擊者誘騙受害者在 Windows 執行對話方塊中貼上惡意 PowerShell 命令，並偽裝成解決一個虛構的系統問題。這個初始步驟利用了合法的 Windows 實用程式 mshta.exe 來取得並執行一個經過混淆處理的基於 PowerShell 的載入程式。

為規避而精心設計的混淆

PowerShell 載入器透過大量無意義的變數賦值來掩蓋其真實用途，這大大增加了靜態分析的難度。有證據表明，該混淆層很可能使用了人工智慧工具來構建，從而提升了其複雜性。這種方法使惡意軟體能夠在保持運作完整性的同時繞過傳統的偵測機制。

透過系統偽裝實現隱身

DeepLoad 的設計旨在與標準的 Windows 操作無縫融合。其有效載荷隱藏在名為 LockAppHost.exe 的可執行檔中，而 LockAppHost.exe 本身則是負責管理 Windows 鎖定畫面的合法進程。為了進一步隱藏自身，惡意軟體會停用 PowerShell 指令歷史記錄，並直接呼叫 Windows 原生核心功能，而不是依賴標準的 PowerShell 指令。這種技術使其能夠繞過追蹤 PowerShell 活動的監控系統。

無檔案技術和動態有效載荷生成

為了最大限度地降低被偵測的風險，DeepLoad 避免在磁碟上留下任何痕跡。它使用 PowerShell 的 Add-Type 功能動態產生一個輔助元件，將 C# 程式碼編譯成一個臨時 DLL 文件，並儲存在使用者的 Temp 目錄中。每次執行都會產生一個名稱唯一的文件，從而有效地繞過了依賴已知特徵碼的文件檢測方法。

用於隱蔽處決的高級注射

一種關鍵的規避策略是使用非同步過程呼叫 (APC) 注入。惡意軟體會啟動一個處於暫停狀態的合法 Windows 進程，將 shellcode 直接注入其內存，然後恢復執行。這種方法確保惡意負載在可信任進程中運行，而不會將解碼後的版本寫入磁碟，從而顯著降低其取證痕跡。

持久性憑證竊取機制

DeepLoad 的設計目的是在執行後立即提取敏感用戶資料。其功能包括：

• 直接從受感染的系統中竊取已儲存的瀏覽器密碼

透過可移動介質進行橫向傳播

該惡意軟體採用專門針對可移動儲存裝置的傳播技術。一旦偵測到U盤或類似儲存介質，它就會複製偽裝成合法安裝程式的惡意捷徑檔案。這些文件的名稱經過精心設計，使其看起來可信，從而增加用戶互動和進一步感染的可能性。

透過濫用WMI進行隱性再感染

DeepLoad 利用 Windows 管理規格 (WMI) 建立持久性。它創建事件訂閱，在三天延遲後觸發重新感染，無需用戶互動或攻擊者參與。該技術還破壞了傳統的檢測模型，因為它打破了預期的父子進程關係。

策略目標：全面覆蓋殺傷鏈

DeepLoad 的整體設計表明它是一個多功能惡意軟體框架，能夠執行貫穿整個網路攻擊鏈的操作。其運行策略著重於：

• 避免使用基於磁碟的偽影以減少偵測機會
• 將惡意活動混入合法的 Windows 進程中
• 它迅速在各個系統中傳播，以擴大其影響範圍。

可擴展威脅框架的指標

DeepLoad 的基礎設施和模組化設計表明其可能採用共享或基於服務的部署模式。雖然其特徵與惡意軟體即服務 (MaaS) 產品相符，但目前尚無充分證據可以最終證實此分類。