Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware DeepLoad Malware

DeepLoad Malware

Von Mezo in Malware, Erweiterte, anhaltende Bedrohung (APT)
Übersetzen Sie in:

Eine neu entdeckte Angriffskampagne nutzt die ClickFix-Social-Engineering-Technik, um Infektionen auszulösen. Opfer werden dazu verleitet, schädliche PowerShell-Befehle auszuführen, indem sie diese unter dem Vorwand, ein erfundenes Systemproblem zu beheben, in das Windows-Ausführen-Dialogfeld einfügen. Dieser erste Schritt verwendet mshta.exe, ein legitimes Windows-Dienstprogramm, um einen verschleierten PowerShell-basierten Loader abzurufen und auszuführen.

Verschleierung zur Umgehung

Der PowerShell-Loader verschleiert seinen wahren Zweck durch übermäßige und sinnlose Variablenzuweisungen, was die statische Analyse erheblich erschwert. Es gibt Hinweise darauf, dass zur Erstellung dieser Verschleierungsschicht wahrscheinlich KI-Tools eingesetzt wurden, wodurch ihre Raffinesse erhöht wird. Dieser Ansatz ermöglicht es der Malware, herkömmliche Erkennungsmechanismen zu umgehen und gleichzeitig ihre Funktionsfähigkeit zu erhalten.

Tarnung durch Systemtarnung

DeepLoad wurde speziell entwickelt, um sich nahtlos in den normalen Windows-Betrieb einzufügen. Die Schadsoftware ist in der ausführbaren Datei LockAppHost.exe versteckt, einem legitimen Prozess, der für die Verwaltung des Windows-Sperrbildschirms zuständig ist. Um ihre Präsenz weiter zu verschleiern, deaktiviert die Malware den PowerShell-Befehlsverlauf und ruft direkt native Windows-Kernfunktionen auf, anstatt auf Standard-PowerShell-Befehle zurückzugreifen. Dadurch kann sie Überwachungssysteme umgehen, die PowerShell-Aktivitäten verfolgen.

Dateilose Techniken und dynamische Nutzlastgenerierung

Um die Erkennung zu minimieren, vermeidet DeepLoad das Hinterlassen konsistenter Spuren auf der Festplatte. Es generiert dynamisch eine sekundäre Komponente mithilfe der PowerShell-Funktion „Add-Type“ und kompiliert C#-Code in eine temporäre DLL-Datei, die im Temp-Verzeichnis des Benutzers gespeichert wird. Jede Ausführung erzeugt eine Datei mit einem eindeutigen Namen, wodurch dateibasierte Erkennungsmethoden, die auf bekannten Signaturen beruhen, effektiv umgangen werden.

Erweiterte Einschleusung für verdeckte Hinrichtungen

Eine wichtige Verschleierungsstrategie besteht in der Verwendung von APC-Injection (Asynchronous Procedure Call Injection). Die Schadsoftware startet einen legitimen Windows-Prozess im angehaltenen Zustand, injiziert Shellcode direkt in dessen Speicher und setzt die Ausführung fort. Diese Methode stellt sicher, dass die Schadsoftware innerhalb eines vertrauenswürdigen Prozesses ausgeführt wird, ohne eine dekodierte Version auf die Festplatte zu schreiben, wodurch ihre forensischen Spuren erheblich reduziert werden.

Mechanismen zum anhaltenden Diebstahl von Zugangsdaten

DeepLoad wurde entwickelt, um sensible Benutzerdaten unmittelbar nach der Ausführung zu extrahieren. Zu seinen Funktionen gehören:

  • Abgreifen gespeicherter Browserpasswörter direkt vom infizierten System
  • Die Bereitstellung einer bösartigen Browsererweiterung, die Anmeldeinformationen in Echtzeit während Anmeldeversuchen erfasst und sitzungsübergreifend bestehen bleibt, sofern sie nicht manuell entfernt wird.

    • Seitliche Ausbreitung über abnehmbare Medien

    Die Schadsoftware nutzt Verbreitungstechniken, um Wechseldatenträger auszunutzen. Sobald sie USB-Laufwerke oder ähnliche Medien erkennt, kopiert sie schädliche Verknüpfungsdateien, die als legitime Installationsdateien getarnt sind. Diese Dateien sind so benannt, dass sie vertrauenswürdig wirken und somit die Wahrscheinlichkeit einer Interaktion und einer weiteren Infektion erhöhen.

    Stille Reinfektion durch Missbrauch von Arbeitsmedien

    DeepLoad etabliert Persistenz mithilfe der Windows-Verwaltungsinstrumentation (WMI). Es erstellt Ereignisabonnements, die nach einer Verzögerung von drei Tagen eine erneute Infektion auslösen, ohne dass eine Benutzerinteraktion oder ein Eingreifen des Angreifers erforderlich ist. Diese Technik stört zudem herkömmliche Erkennungsmodelle, indem sie die erwarteten Eltern-Kind-Prozessbeziehungen unterbricht.

    Strategisches Ziel: Vollständige Abdeckung der Tötungskette

    Das Gesamtdesign von DeepLoad deutet auf ein multifunktionales Malware-Framework hin, das Aktionen entlang der gesamten Cyber-Kill-Chain ausführen kann. Die operative Strategie konzentriert sich auf Folgendes:

    • Vermeidung von Artefakten auf Festplatten, um die Entdeckungsmöglichkeiten zu verringern
    • Schadsoftware in legitime Windows-Prozesse einbetten
    • breitet sich rasch über verschiedene Systeme aus, um seine Reichweite zu vergrößern.

    Indikatoren eines skalierbaren Bedrohungsrahmens

    Die Infrastruktur und das modulare Design von DeepLoad lassen auf ein gemeinsames oder servicebasiertes Bereitstellungsmodell schließen. Obwohl einige Merkmale mit Malware-as-a-Service (MaaS)-Angeboten übereinstimmen, reichen die derzeitigen Beweise nicht aus, um diese Klassifizierung endgültig zu bestätigen.

    Im Trend

    Am häufigsten gesehen

    Wird geladen...