Logiciel malveillant DeepLoad

Par Mezo en Logiciels malveillants, Menace persistante avancée (APT)

Se traduisent par :

Une nouvelle campagne d'attaque utilise la technique d'ingénierie sociale ClickFix pour initier l'infection. Les victimes sont manipulées et amenées à exécuter des commandes PowerShell malveillantes en les collant dans la boîte de dialogue Exécuter de Windows, sous prétexte de résoudre un problème système fictif. Cette première étape exploite mshta.exe, un utilitaire Windows légitime, pour récupérer et exécuter un chargeur PowerShell obfusqué.

Table des matières

Obfuscation conçue pour l’évasion

Le chargeur PowerShell dissimule sa véritable fonction par des affectations de variables excessives et dénuées de sens, ce qui complique considérablement l'analyse statique. Tout porte à croire que des outils d'intelligence artificielle ont probablement été utilisés pour concevoir cette couche d'obfuscation, renforçant ainsi sa sophistication. Cette approche permet au logiciel malveillant de contourner les mécanismes de détection traditionnels tout en préservant son intégrité opérationnelle.

Camouflage furtif à travers le système

DeepLoad est spécifiquement conçu pour s'intégrer parfaitement au fonctionnement standard de Windows. Sa charge utile est dissimulée dans un exécutable nommé LockAppHost.exe, un processus légitime gérant l'écran de verrouillage de Windows. Afin de masquer davantage sa présence, le logiciel malveillant désactive l'historique des commandes PowerShell et invoque directement des fonctions natives de Windows au lieu d'utiliser les commandes PowerShell standard. Cette technique lui permet de contourner les systèmes de surveillance de l'activité PowerShell.

Techniques sans fichier et génération dynamique de charge utile

Pour minimiser sa détection, DeepLoad évite de laisser des traces persistantes sur le disque. Il génère dynamiquement un composant secondaire à l'aide de la commande `Add-Type` de PowerShell, compilant le code C# en un fichier DLL temporaire stocké dans le répertoire Temp de l'utilisateur. Chaque exécution produit un fichier au nom unique, contournant ainsi les méthodes de détection basées sur des signatures connues.

Injection avancée pour exécution secrète

Une stratégie d'évasion clé repose sur l'injection par appel de procédure asynchrone (APC). Le logiciel malveillant lance un processus Windows légitime en état suspendu, injecte du shellcode directement dans sa mémoire, puis reprend son exécution. Cette méthode garantit que la charge utile malveillante s'exécute au sein d'un processus de confiance sans qu'une version décodée ne soit écrite sur le disque, réduisant ainsi considérablement son impact sur les capacités de détection.

Mécanismes persistants de vol d’identifiants

DeepLoad est conçu pour extraire les données sensibles des utilisateurs dès son exécution. Ses fonctionnalités incluent :

Récupération directe des mots de passe de navigateur enregistrés sur le système infecté
Déploiement d'une extension de navigateur malveillante qui capture les identifiants en temps réel lors des tentatives de connexion et persiste d'une session à l'autre, sauf suppression manuelle.

Propagation latérale par voie de média amovible

Ce logiciel malveillant utilise des techniques de propagation conçues pour exploiter les périphériques de stockage amovibles. Dès qu'il détecte une clé USB ou un support similaire, il copie des fichiers de raccourci malveillants déguisés en installateurs légitimes. Le nom de ces fichiers est conçu pour paraître fiable, augmentant ainsi le risque d'interaction de l'utilisateur et d'infection plus poussée.

Réinfection silencieuse par abus de WMI

DeepLoad assure la persistance grâce à Windows Management Instrumentation (WMI). Il crée des abonnements à des événements qui déclenchent une réinfection après un délai de trois jours, sans intervention de l'utilisateur ni de l'attaquant. Cette technique perturbe également les modèles de détection traditionnels en rompant les relations attendues entre les processus parent et enfant.

Objectif stratégique : Couverture complète de la chaîne de destruction

La conception globale de DeepLoad révèle un framework de logiciel malveillant multifonctionnel capable d'exécuter des actions tout au long de la chaîne d'attaque informatique. Sa stratégie opérationnelle est axée sur :

Éviter les artefacts liés au disque pour réduire les possibilités de détection
Intégration d'activités malveillantes au sein de processus Windows légitimes
Se propageant rapidement à travers les systèmes pour étendre son empreinte

Indicateurs d’un cadre de gestion des menaces évolutif

L'infrastructure et la conception modulaire de DeepLoad laissent entrevoir la possibilité d'un modèle de déploiement partagé ou basé sur un service. Bien que certaines caractéristiques correspondent aux offres de type « malware-as-a-service » (MaaS), les preuves actuelles sont insuffisantes pour confirmer définitivement cette classification.

Le dépôt de bilan de Digital River GmbH, le processeur de paiement d'EnigmaSoft, n'a pas d'impact sur la protection anti-malware des clients de SpyHunter

Rechercher

Changer de région

Logiciel malveillant DeepLoad

Obfuscation conçue pour l’évasion

Camouflage furtif à travers le système

Techniques sans fichier et génération dynamique de charge utile

Injection avancée pour exécution secrète

Mécanismes persistants de vol d’identifiants

Propagation latérale par voie de média amovible

Réinfection silencieuse par abus de WMI

Objectif stratégique : Couverture complète de la chaîne de destruction

Indicateurs d’un cadre de gestion des menaces évolutif

Soumettre un Commentaire

Tendance

Erreur HTTP 401 : Jeton de sécurité invalide...

Extension officielle des coupons géants

Chainbridgeworks.co.in

Le plus regardé

Comment corriger l'erreur « Le pilote d'imprimante...

Discord affiche un écran noir lors du partage d'écran

Eporner.com