In den letzten Monaten hat sich eine Kampagne entwickelt, die geniale Social Engineering mit fortschrittlichen Stealth-Techniken kombiniert, um einen neuen Malware-Ladegerät namens DeepLoad zu verbreiten. Was macht es besonders beunruhigend ist nicht nur seine Intrusionsfähigkeit, sondern die bewusste Art, wie es versucht, zwischen legitimen Windows-Prozessen zu tarnen und sowohl statische Analyse als auch viele übliche Sicherheitskontrollen zu vermeiden., nach Forschern, die die Bedrohung dokumentiert haben.
Der Punkt des Eintrags ist keine ausgeklügelte Explosion, sondern eine psychologische Falle: eine Variante der Deko, die als "ClickFix" bekannt ist, die das Opfer dazu überredet, einen Befehl in der Run Windows Box zu stecken und auszuführen, mit der Ausrede, ein angebliches nicht vorhandenes Problem zu beheben. Dieser Befehl ruft mshta.exe an, ein legitimes Systemprogramm, das Sie herunterladen und ein vonuscado PowerShell Skript ausführen. Die Verwendung von mshta zur Ausführung von Nutzlasten wurde von Analysten als Beispiel von "Signed Binary Proxy Execution" beschrieben, eine Technik, die zuverlässige System binäre missbraucht, um bösartigen Code auszuführen ( MITRE ATT & CK - mshta) Um zu verstehen, wie mshta unter Windows funktioniert, können Sie die offizielle Microsoft-Dokumentation ( mshta - Microsoft Docs)
Einmal in Betrieb, zeigt der Loader ein berechnetes Muster der Evasion: Sein Code ist bewusst voll von Zuordnungen und sinnlosen Namen, um die reale Logik zu verstecken und statische Signaturen zu verwechseln. Die Analysten, die die Erkenntnis untersuchten, glauben, dass die Angreifer auf künstliche Intelligenz-Tools, um diese Abflussschicht zu erzeugen, einen Trend, der Stärke in der Malware-Szene gewinnt, weil es erlaubt, "Geheimnis" und variablen Code mit wenig menschlichem Aufwand zu produzieren. DeepLoad vermeidet auch, leicht nachweisbare Spuren zu hinterlassen, indem man Techniken wie das Deaktivieren von PowerShells Befehlshistorie verwendet und statt Standard-Cmdlets aufruft, um Prozesse zu erstellen und Speicher zu manipulieren, die viele Tracks, die PowerShell-Aktivität überwachen.
Das Ladegerät zieht auch Tricks, um Ihre binäre Verwirrung mit legitimen Systemkomponenten zu machen: es verkörpert die Last in eine ausführbare mit einem Namen, der Sie an den Windows-Lock-Bildschirm-Manager denken lässt, und macht ein zweites Stück dynamisch mit PowerShells Kapazität Typ C #-Code im Speicher kompilieren und ausführen. Diese Operation erzeugt eine temporäre DLL geschrieben in der Temp-Ordner mit wechselnden Namen jeder laufen, so dass es schwierig, anhand von Signaturen oder wiederholten Dateinamen zu erkennen. Add-Typ-Dokumentation in PowerShell ist ein guter Bezugspunkt, um zu verstehen, wie diese Funktionalität verwendet wird ( Add-Type - Microsoft Docs)
In der Hauptauslastungsphase nutzt DeepLoad die Injektion durch Asynchronous Procedure Call (APC), eine Möglichkeit, Code innerhalb zuverlässiger Prozesse auszuführen. Die Routine ist es, einen objektiven Prozess im suspendierten Zustand zu starten, Shellcode direkt in Ihren Speicher zu schreiben und wieder aufzunehmen, so vermeiden Sie eine decodierte ausführbar auf Festplatte. Derartige Verfahrensinjektionstechniken sind in den von MITRE unter "Process Injection" beschriebenen Kategorien enthalten ( MITRE ATT & CK - Prozessinjektion), und seine Verwendung reduziert die Sichtbarkeit gegen traditionelle Steuerungen, die Dateien oder typische PowerShell-Anrufe suchen.
Das funktionelle Ziel von Malware ist nicht nur zu bestehen: es richtet sich an die Exfiltration von Anmeldeinformationen. Extrahieren Sie die in Browsern gespeicherten Passwörter und lassen Sie eine bösartige Erweiterung, die Anmeldeinformationen in Echtzeit erfasst, wenn die Benutzer Zugriffsformulare ausfüllen und zwischen Sitzungen wohnhaft bleiben. Es enthält auch einen abnehmbaren Medienausbreitungsmechanismus, der direkte Zugriffe mit attraktiven Namen - zum Beispiel, Verknüpfungen, die Browser-Installateure oder Remote-Support-Tools simulieren - kopiert, um die Ausführung zu induzieren, wenn ein anderer Doppelbenutzer die Datei auf einem anderen Gerät anklickt.
Stille Beharrlichkeit ist ein weiterer Punkt, um zu betonen: DeepLoad nutzt Windows Management Instrumentation (WMI), um in Systeme, die "sauber" Tage später schienen, ohne weitere Interaktion des Angreifers neu zu injizieren. WMI ermöglicht es Ihnen, Abonnements für Ereignisse zu erstellen, die die nachfolgende Ausführung des schädlichen Codes auslösen und übrigens die Padre-Kindketten von Prozessen brechen, die viele Erkennungsregeln verfolgen, so dass es schwierig ist, der klassischen schädlichen Aktivität zu folgen ( MITRE ATT & CK - WMI)
Das Porträt, das sich aus all diesen Techniken ergibt, ist das eines Mehrzweck-Ladegeräts, das furtiv betrieben werden soll, sich schnell bewegen und den Angreifern die Berechtigungsdiebstahl, die seitliche Bewegung und die Fernausführung zur Verfügung stellen, während die Detektionsfläche reduziert wird, indem offensichtliche Geräte auf der Festplatte vermieden und sich mit Systemprozessen mimiert werden.
Während die Forschung über DeepLoad öffentlich gemacht wurde, beschrieb ein anderes Sicherheitshaus eine parallele Kampagne, die Internet-Kürze (.url-Dateien) als Initialvektor wiederverwendet. In diesem Fall wurde ein Loader namens Kiss Loader über Phishing-E-Mails verteilt, die WebDAV-Ressourcen auf Domänen verlinken, die von TryCloudflare gehostet wurden. Die anfängliche Verknüpfung lädt einen weiteren direkten Zugriff herunter, der durch ein PDF übertragen wird; wenn es ausgeführt wird, startet es ein WSH-Skript, das JavaScript betreibt, dann eine Batch-Datei, die eine PDF-Decoy zeigt, setzt Beharrlichkeit im Start-Ordner und lädt ein auf Python geschriebenes Ladegerät herunter. Dieser Loader defiguriert und führt eine Variante von RAT (Venom / AsyncrAT) auch mit APC zur Injektion. Die Sicherheitsunterschrift hinter dem Bericht lieferte Einzelheiten dieses Prozesses und seine Liefer- und Beharrlichkeitsstufen.
Diese Vorfälle zeigen eine Reihe von Lektionen für Verteidiger und Sicherheitsbeamte. Zum einen verkörpert die zunehmende Raffinesse der Anziehung, die wahrscheinlich von IA-Werkzeugen unterstützt wird, die Arbeit von Lösungen, die ausschließlich auf statischen Signaturen basieren. Andererseits unterstreicht die Ausbeutung legitimer Gewinne aus Windows und Mechanismen wie WMI oder mshta die Bedeutung der Kombination von Präventionskontrollen mit fortschrittlicher Telemetrie, die anomale Verhaltensweisen erkennen und Signale im Laufe der Zeit korrelieren. Achtung der WMI-Abonnements, Ausführung von temporären Standorten, die Entstehung ungewöhnlicher Kinderprozesse und die Überwachung der Erstellung von DLs oder Speicherinjektionen sind Elemente, die in den Erkennungsrichtlinien Priorität eingeräumt werden sollten.
Wenn die Berichte und die technische Analyse weiterentwickelt werden sollen, ist es sinnvoll, die von den Analyseunternehmen veröffentlichten Unterlagen und Berichte zu überprüfen, die diese Fälle untersucht haben. ReliaQuests Unternehmensseite und spezialisierte Medien haben die Ergebnisse auf DeepLoad gesammelt, während Signaturen wie G DATA Kiss Loader und seine Lieferkette dokumentiert haben. Für die allgemeine Beratung über die verwendeten Techniken sollte auf konsolidierte Ressourcen wie MITRE ATT & CK und Microsoft offizielle Dokumentation über die Werkzeuge und APIs ( ReliaQuest, The Hacker News, G DATEN, MITRE ATT & CK, Microsoft Docs)
Die Schlussfolgerung für Sicherheitsbeamte und Nutzer ist klar: Es reicht nicht aus, sich auf Datei- und Signaturbausteine zu verlassen. Effektive Verteidigung muss Verhaltenskontrollen, Privileg Segmentierung, Einschränkungen von Systemauslastungen aus unerwarteten Kontexten und kontinuierliche Benutzererziehung enthalten, um Social Engineering Fallen zu widerstehen. Die Bedrohungslandschaft wird dynamischer und automatisiert; die Anpassung an diese Realität ist nicht mehr optional, es ist dringend.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...