Au cours des derniers mois, une campagne a émergé qui combine ingénieuse ingénierie sociale avec des techniques furtives avancées pour diffuser un nouveau chargeur de malware nommé DeepLoad. Ce qui le rend particulièrement inquiétant, ce n'est pas seulement sa capacité d'intrusion, mais la façon délibérée dont il tente de camoufler entre les processus légitimes de Windows et d'éviter à la fois l'analyse statique et de nombreux contrôles de sécurité habituels., selon les chercheurs qui ont documenté la menace.
Le point d'entrée n'est pas une explosion sophistiquée mais un piège psychologique : une variante du leurre connu sous le nom de "ClickFix", qui persuade la victime de coller et d'exécuter une commande dans la boîte Exécuter Windows avec l'excuse de résoudre un problème présumé inexistant. Cette commande invoque mshta.exe, un utilitaire système légitime que vous téléchargez et exécutez un script de PowerShell d'uscado. L'utilisation de mshta pour exécuter des charges utiles a été décrite par les analystes comme un exemple de "Signé Binary Proxy Execution", une technique qui abuse des binaires système fiables pour exécuter le code malveillant ( MITRE ATT & CK - mshta). Pour comprendre comment mshta fonctionne sur Windows, vous pouvez voir la documentation officielle de Microsoft ( mshta - Microsoft Docs).
Une fois en service, le chargeur affiche un modèle calculé d'évasion : son code est délibérément rempli d'assignations et de noms sans signification pour cacher la logique réelle et confondre les signatures statiques. Les analystes qui ont étudié la conclusion croient que les attaquants se sont appuyés sur des outils d'intelligence artificielle pour générer cette couche de sortie, une tendance qui gagne en force dans la scène des logiciels malveillants parce qu'elle permet de produire du « bruit » et du code variable avec peu d'effort humain. DeepLoad évite également de laisser des traces facilement détectables, en utilisant des techniques telles que désactiver l'historique de commande de PowerShell et, au lieu d'invoquer des cmdlets standard, appeler directement aux fonctions natives de Windows pour créer des processus et manipuler la mémoire, qui évite de nombreuses pistes qui surveillent l'activité de PowerShell.
Le chargeur tire également des astuces pour faire votre binaire confondu avec les composants légitimes du système: il incarne la charge dans un exécutable avec un nom qui vous fait penser au gestionnaire d'écran de verrouillage Windows, et constitue une deuxième pièce dynamique en utilisant la capacité de PowerShell Ajouter un type pour compiler et exécuter le code C # en mémoire. Cette opération produit une DLL temporaire écrite dans le dossier Temp avec changement de noms à chaque exécution, ce qui rend difficile la détection basée sur des signatures ou des noms de fichiers répétés. La documentation Add-Type dans PowerShell est un bon point de référence pour comprendre comment cette fonctionnalité est utilisée ( Add-Type - Microsoft Docs).
Dans la phase principale d'exécution de la charge utile, DeepLoad utilise l'injection de l'appel de procédure asynchrone (APC), un moyen d'exécuter le code dans des processus fiables. La routine est de lancer un processus objectif en état suspendu, écrire shellcode directement dans votre mémoire et le reprendre, évitant ainsi de laisser un exécutable décodé sur disque. Des techniques d'injection de procédé telles que celles-ci sont incluses dans les catégories décrites par MITRE sous "Process Injection" ( MITRE ATT & CK - Injection de procédé), et son utilisation réduit la visibilité contre les contrôles traditionnels qui cherchent des fichiers ou des appels PowerShell typiques.
L'objectif fonctionnel des logiciels malveillants n'est pas seulement de persister : il vise à exfiltration des références. Extraire les mots de passe stockés dans les navigateurs et laisser une extension malveillante qui capture les identifiants en temps réel lorsque les utilisateurs remplissent des formulaires d'accès, ainsi que rester résident entre les sessions. Il intègre également un mécanisme amovible de propagation des médias qui copie les accès directs avec des noms attrayants - par exemple, des raccourcis qui simulent des installateurs de navigateur ou des outils de support à distance - pour induire l'exécution quand un autre double utilisateur clique sur le fichier sur une machine différente.
La persistance silencieuse est un autre point à souligner : DeepLoad utilise Windows Management Instrumentation (WMI) pour réinjecter dans des systèmes qui semblaient « propres » jours plus tard, sans autre interaction de l'attaquant. WMI vous permet de créer des abonnements à des événements qui déclenchent l'exécution ultérieure du code malveillant et, d'ailleurs, briser les chaînes padre- enfant de processus que beaucoup de règles de détection suivent, ce qui rend difficile de suivre l'activité malveillante classique ( MITRE ATT & CK - WMI).
Le portrait qui résulte de toutes ces techniques est celui d'un chargeur polyvalent conçu pour fonctionner furtivement, se déplacer rapidement et fournir aux attaquants des références de vol, de mouvement latéral et d'exécution à distance, tout en réduisant la surface de détection en évitant les dispositifs évidents sur disque et en s'imitant avec les processus du système.
Alors que la recherche sur DeepLoad a été rendue publique, une autre maison de sécurité a décrit une campagne parallèle qui réutilise les raccourcis Internet (fichiers.url) comme vecteur initial. Dans ce cas, un chargeur appelé Kiss Loader était distribué par le biais d'emails de phishing reliant les ressources WebDAV aux domaines hébergés par TryCloudflare. Le raccourci initial télécharge un autre accès direct qui est passé par un PDF; quand il est exécuté, il lance un script WSH qui exécute JavaScript, puis un fichier batch qui montre un leurre PDF, définit la persistance dans le dossier Démarrer et télécharge un chargeur écrit sur Python. Ce chargeur défigure enfin et exécute une variante de RAT (Venom / AsyncrAT) également en utilisant APC pour injection. La signature de sécurité derrière le rapport a fourni des détails sur ce processus et ses étapes de livraison et de persistance.
Ces incidents mettent en lumière un certain nombre de leçons pour les défenseurs et les responsables de la sécurité. D'une part, la sophistication croissante de l'usccation, probablement assistée par des outils IA, incarne le travail de solutions basées exclusivement sur des signatures statiques. D'autre part, l'exploitation des bénéfices légitimes de Windows et des mécanismes tels que WMI ou mshta souligne l'importance de combiner les contrôles de prévention avec la télémétrie avancée qui détecte les comportements anormaux et les signaux de corrélation au fil du temps. L'attention accordée aux abonnements WMI, l'exécution à partir de lieux temporaires, l'émergence de processus d'enfant inhabituels et le suivi de la création de DL ou d'injections de mémoire sont des éléments qui devraient être prioritaires dans les politiques de détection.
Si l'on veut développer les rapports et les analyses techniques, il est utile d'examiner la documentation et les rapports publiés par les sociétés d'analyse qui ont enquêté sur ces cas. La page d'entreprise de ReliaQuest et les médias spécialisés ont recueilli les résultats sur DeepLoad, tandis que des signatures comme G DATA ont documenté Kiss Loader et sa chaîne de livraison. Pour une consultation générale sur les techniques utilisées, il convient de se référer aux ressources consolidées telles que la documentation officielle MITRE ATT & CK et Microsoft sur les outils et API concernés ( ReliaQuest, Les nouvelles Hacker, G DONNÉES, MITRE ATT & CK, Microsoft Docs).
La conclusion pour les responsables de la sécurité et les utilisateurs est claire : il ne suffit pas de se fier aux blocs de fichiers et de signatures. La défense efficace doit intégrer des contrôles de comportement, la segmentation des privilèges, les restrictions sur les services publics du système à partir de contextes inattendus et l'éducation continue des utilisateurs pour résister aux pièges de l'ingénierie sociale. Le paysage de la menace devient plus dynamique et automatisé; s'adapter à cette réalité n'est plus facultatif, c'est urgent.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...