Wprowadzenie do problemu / definicja
DeepLoad to nowo opisana rodzina złośliwego oprogramowania zaprojektowana z myślą o szybkim przejmowaniu poświadczeń oraz utrzymaniu obecności w środowisku ofiary nawet po częściowym usunięciu śladów infekcji. Zagrożenie łączy socjotechnikę, wykorzystanie legalnych narzędzi systemowych, wykonanie kodu wyłącznie w pamięci, wstrzykiwanie do zaufanych procesów oraz mechanizmy trwałości oparte na WMI.
Na tle wielu innych kampanii DeepLoad wyróżnia się bardzo silnym zaciemnieniem kodu. Taka konstrukcja utrudnia analizę statyczną i może wskazywać na automatyzację procesu obfuscation, co dodatkowo zwiększa zmienność próbek i komplikuje pracę zespołów bezpieczeństwa.
W skrócie
- DeepLoad jest dystrybuowany z użyciem techniki ClickFix, w której użytkownik sam uruchamia złośliwy łańcuch infekcji.
- Malware wykorzystuje m.in. mshta.exe, PowerShell, Add-Type oraz dynamicznie kompilowane biblioteki DLL.
- Ładunek działa w pamięci i może zostać wstrzyknięty do legalnego procesu LockAppHost.exe.
- Głównym celem są zapisane hasła, aktywne sesje oraz dane logowania wpisywane przez użytkownika.
- Mechanizmy trwałości oparte na WMI mogą powodować ponowne uruchomienie infekcji nawet po pozornym oczyszczeniu systemu.
Kontekst / historia
W ostatnim czasie wyraźnie wzrosła skuteczność kampanii opartych na technice ClickFix. Mechanizm ten polega na podsunięciu ofierze komunikatu imitującego problem techniczny, a następnie nakłonieniu jej do ręcznego wykonania polecenia, które rzekomo ma naprawić błąd. W praktyce użytkownik sam inicjuje infekcję, omijając część tradycyjnych zabezpieczeń.
DeepLoad wpisuje się także w szerszy trend nadużywania natywnych komponentów Windows i legalnych narzędzi administracyjnych. Zamiast polegać wyłącznie na klasycznych plikach wykonywalnych, operatorzy wykorzystują skrypty, procesy systemowe, kompilację w locie oraz mechanizmy zarządzania systemem, co znacząco utrudnia detekcję opartą wyłącznie na sygnaturach.
Analiza techniczna
Łańcuch infekcji rozpoczyna się od fałszywego komunikatu nakłaniającego użytkownika do uruchomienia wskazanej komendy. Po jej wykonaniu tworzony jest zaplanowany task odpowiedzialny za ponowne uruchamianie loadera i zapewnienie podstawowej trwałości po restarcie systemu. Następnie malware wykorzystuje mshta.exe do komunikacji z infrastrukturą operatora i pobrania silnie zaciemnionego loadera PowerShell.
Jednym z najbardziej charakterystycznych elementów DeepLoad jest skrajnie rozbudowana warstwa paddingu kodu. Rzeczywista logika operacyjna została ukryta pod dużą ilością zbędnych instrukcji, których celem jest przeciążenie analizatorów i utrudnienie identyfikacji najważniejszych funkcji odpowiedzialnych za odszyfrowanie oraz uruchomienie ładunku.
Po rozpakowaniu malware uruchamia payload w pamięci i wstrzykuje go do zaufanego procesu LockAppHost.exe. Dodatkowo wykorzystuje funkcję Add-Type w PowerShell do wygenerowania tymczasowej biblioteki DLL, kompilowanej na nowo przy każdym uruchomieniu. Losowe nazewnictwo takich plików utrudnia tworzenie prostych wskaźników kompromitacji i reguł opartych na stałych ścieżkach.
Z perspektywy celów operacyjnych DeepLoad działa bardzo szybko. Moduł kradnący poświadczenia może rozpocząć aktywność jeszcze przed pełnym zakończeniem całego łańcucha ataku. Oznacza to, że nawet częściowe przerwanie infekcji nie musi zapobiec wyciekowi danych logowania. Dodatkowym zagrożeniem jest złośliwe rozszerzenie przeglądarki, zdolne do przechwytywania danych wpisywanych przez użytkownika w czasie rzeczywistym.
W analizowanej kampanii zaobserwowano również zapisywanie wielu plików na podłączonych nośnikach USB. Pliki podszywały się pod instalatory lub skróty do popularnego oprogramowania, co może wskazywać na próbę dalszego rozprzestrzeniania infekcji. Najbardziej problematycznym elementem pozostaje jednak wykorzystanie subskrypcji zdarzeń WMI, które umożliwiają wznowienie aktywności malware nawet po usunięciu części artefaktów.
Konsekwencje / ryzyko
Ryzyko związane z DeepLoad jest wysokie, ponieważ malware od początku koncentruje się na danych uwierzytelniających. Dotyczy to haseł zapisanych w przeglądarkach, aktywnych sesji, tokenów oraz danych wpisywanych ręcznie przez użytkownika. W środowiskach firmowych może to prowadzić do szybkiego przejęcia kont, eskalacji uprawnień i dalszego ruchu bocznego.
Drugim poważnym problemem jest możliwość pozornej remediacji. Usunięcie plików tymczasowych, zaplanowanych zadań czy innych widocznych artefaktów nie gwarantuje pełnego oczyszczenia hosta. Jeśli mechanizmy trwałości oparte na WMI pozostaną aktywne, infekcja może powrócić po kilku dniach.
Istotne znaczenie ma także silna obfuscation. Jeśli rzeczywiście jest ona generowana automatycznie, obrońcy muszą liczyć się z większą zmiennością próbek i krótszym czasem życia klasycznych sygnatur. To zwiększa znaczenie telemetrii behawioralnej, analizy procesów oraz korelacji zdarzeń.
Rekomendacje
Organizacje powinny ograniczyć skuteczność kampanii ClickFix poprzez szkolenia użytkowników, blokowanie wykonywania nieautoryzowanych poleceń z poziomu komunikatów przeglądarkowych oraz zmniejszenie możliwości ręcznego uruchamiania skryptów przez użytkowników końcowych.
Od strony technicznej warto monitorować użycie mshta.exe, PowerShell, Add-Type, dynamicznej kompilacji DLL oraz nietypowych uruchomień procesów takich jak LockAppHost.exe. Szczególnie przydatne będą mechanizmy EDR, Script Block Logging oraz reguły wykrywające injection, wykonanie w pamięci i anomalie w relacjach rodzic–dziecko procesów.
W przypadku podejrzenia infekcji konieczny jest pełny przegląd subskrypcji zdarzeń WMI, zaplanowanych zadań, katalogów tymczasowych oraz rozszerzeń przeglądarek. Należy również wymusić reset wszystkich poświadczeń powiązanych z naruszonym systemem, unieważnić aktywne sesje i tokeny oraz przeanalizować możliwość wtórnej kompromitacji innych zasobów.
Dodatkowo zalecane jest ograniczenie użycia nośników USB, monitorowanie pojawiania się plików podszywających się pod instalatory oraz wdrożenie polityk allowlistingu dla rozszerzeń przeglądarek. W nowoczesnych kampaniach właśnie te elementy coraz częściej służą do zbierania danych uwierzytelniających.
Podsumowanie
DeepLoad pokazuje, jak szybko ewoluuje współczesne malware kradnące poświadczenia. Połączenie socjotechniki ClickFix, działania w pamięci, wykorzystania legalnych komponentów systemu, złośliwych rozszerzeń przeglądarki i trwałości opartej na WMI znacząco podnosi poziom trudności dla zespołów SOC i IR.
Najważniejszy wniosek jest praktyczny: skuteczna obrona przed tego typu zagrożeniami wymaga odejścia od wyłącznie plikocentrycznej detekcji na rzecz analizy behawioralnej, monitoringu tożsamości oraz dokładnej remediacji mechanizmów trwałości. W przeciwnym razie nawet pozornie opanowany incydent może szybko powrócić.
Źródła
- Dark Reading — AI-Powered 'DeepLoad’ Malware Steals Credentials, Evades Detection — https://www.darkreading.com/cyberattacks-data-breaches/ai-powered-deepload-steals-credentials-evades-detection
- ReliaQuest — Speed Wins When Identity Fails: 2026 Annual Threat Report — https://reliaquest.com/blog/2026-annual-cyber-threat-report
- ReliaQuest — New Execution Technique in ClearFake Campaign — https://reliaquest.com/blog/new-execution-technique-in-clearfake-campaign/