HackerNews 编译,转载请注明出处:
一场新攻击活动利用ClickFix社交工程手段分发此前未记录的恶意软件加载器DeepLoad。
ReliaQuest研究人员Thassanai McCabe和Andrew Currie在报告中表示:“该恶意软件可能使用AI辅助混淆和进程注入规避静态扫描,同时凭证窃取立即启动,即使主加载器被阻止也能捕获密码和会话。”
攻击链起点为ClickFix诱饵,诱骗用户在Windows运行对话框中粘贴PowerShell命令,以解决并不存在的问题为幌子。随后利用合法Windows工具”mshta.exe”下载并运行混淆的PowerShell加载器。
该加载器将实际功能隐藏在无意义的变量赋值中,可能试图欺骗安全工具。研究人员评估威胁行为体可能使用人工智能工具开发混淆层。
深度隐蔽
DeepLoad刻意融入常规Windows活动以规避检测,包括将载荷隐藏在名为”LockAppHost.exe”的可执行文件中——这是管理锁屏界面的合法Windows进程。
此外,恶意软件通过禁用PowerShell命令历史、直接调用原生Windows核心函数(而非依赖PowerShell内置命令启动进程和修改内存)来掩盖痕迹,从而绕过监控PowerShell活动的常见检测钩子。
ReliaQuest表示:”为规避基于文件的检测,DeepLoad使用PowerShell内置功能Add-Type动态生成二级组件,该功能编译并运行C#编写的代码,生成临时动态链接库(DLL)文件投放至用户Temp目录。”
这使恶意软件能够规避基于文件名的检测,因为DLL每次执行时都会编译,并以随机文件名写入。
另一值得注意的防御规避策略是DeepLoad使用异步过程调用(APC)注入,在受信任的Windows进程内运行主载荷——以挂起状态启动目标进程,将shellcode写入其内存,然后恢复进程执行,无需将解码后的载荷写入磁盘。
凭证窃取与持久化
DeepLoad旨在通过从主机提取浏览器密码促进凭证窃取。它还投放恶意浏览器扩展,在用户输入登录页面凭证时拦截,并在用户会话中持久存在,除非明确移除。
该恶意软件更危险的功能是自动检测可移动媒体设备(如U盘)连接,并使用”ChromeSetup.lnk”、”Firefox Installer.lnk”、”AnyDesk.lnk”等名称复制含恶意软件的文件,一旦双击即触发感染。
ReliaQuest解释:”DeepLoad使用Windows管理规范(WMI)在三天后无需用户操作和攻击者交互即可重新感染’干净’主机。WMI发挥双重作用:打破大多数检测规则旨在捕获的父子进程链,并创建WMI事件订阅,稍后静默重新执行攻击。”
其目标似乎是部署能够在网络杀伤链各环节执行恶意操作的多功能恶意软件,通过避免向磁盘写入痕迹、融入Windows进程、快速传播至其他机器来规避安全控制检测。
目前尚不清楚该恶意软件首次用于真实世界攻击的时间或整体活动规模。但ReliaQuest发言人告诉The Hacker News,该恶意软件”非常新”,”通过ClickFix投递表明其具有更广泛传播的潜力”。
该发言人补充:”与DeepLoad相关的基础设施和模板化实现可能与服务型或共享框架一致;但目前我们无法最终确定其是否作为MaaS(恶意软件即服务)模式提供。”
此次披露恰逢G DATA详细介绍另一款名为Kiss Loader的恶意软件加载器,该加载器通过钓鱼邮件附带的Windows Internet快捷方式文件(URL)分发,随后连接至TryCloudflare域名托管的远程WebDAV资源,提供伪装成PDF文档的二级快捷方式。
执行后,该快捷方式启动负责运行JavaScript组件的WSH脚本,进而检索并执行批处理脚本——显示诱饵PDF,在启动文件夹设置持久化,并下载基于Python的Kiss Loader。最后阶段,加载器使用APC注入解密并运行Venom RAT(AsyncRAT变种)。
目前尚不清楚Kiss Loader攻击的广泛程度,以及是否以MaaS模式提供。但据该加载器背后的威胁行为体声称,其来自马拉维。
消息来源:thehackernews.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文