Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
DeepLoad to nowo zaobserwowana rodzina złośliwego oprogramowania wykorzystywana w kampaniach opartych na technice ClickFix. Mechanizm ten polega na prezentowaniu ofierze fałszywych komunikatów o błędach przeglądarki lub systemu, które mają skłonić użytkownika do ręcznego uruchomienia wskazanego polecenia. W efekcie dochodzi do aktywacji loadera PowerShell, instalacji malware na systemie Windows oraz uzyskania dostępu do poświadczeń i aktywności przeglądarkowej użytkownika.
W skrócie
- DeepLoad jest wykorzystywany w kampaniach opartych na socjotechnice ClickFix.
- Atak prowadzi do kradzieży poświadczeń i instalacji złośliwego rozszerzenia przeglądarki.
- Malware wykorzystuje dynamicznie generowane biblioteki DLL, wykonanie w pamięci i iniekcję kodu do legalnych procesów.
- Zaobserwowano także elementy mogące wspierać propagację przez nośniki USB.
- Połączenie socjotechniki i technik unikania detekcji utrudnia reakcję zespołów bezpieczeństwa.
Kontekst / historia
Rodzina DeepLoad była wcześniej kojarzona z cyberprzestępczym podziemiem jako zestaw narzędzi promowany pod kątem wielu złośliwych funkcji, w tym przechwytywania poświadczeń oraz podmiany aplikacji i rozszerzeń związanych z portfelami kryptowalutowymi. Najnowsze obserwacje wskazują jednak, że rozwiązanie to wyszło poza etap reklamowania i zaczęło być wykorzystywane w realnych kampaniach wymierzonych w użytkowników systemów Windows.
Kluczową rolę w tym scenariuszu odgrywa ClickFix, czyli technika, która zyskała popularność dzięki swojej prostocie i skuteczności. Atakujący nie muszą od razu dostarczać klasycznego pliku wykonywalnego. Zamiast tego nakłaniają użytkownika do samodzielnego uruchomienia polecenia, co pozwala ominąć część tradycyjnych zabezpieczeń i zwiększa wiarygodność całego łańcucha infekcji.
Analiza techniczna
Łańcuch ataku rozpoczyna się od wyświetlenia fałszywego komunikatu błędu w przeglądarce. Ofiara otrzymuje instrukcję, aby wkleić określone polecenie do okna Uruchamianie systemu Windows lub do terminala. Taka akcja uruchamia loader PowerShell, który odpowiada za trwałość infekcji oraz pobranie lub wygenerowanie kolejnych komponentów złośliwego oprogramowania.
Jednym z bardziej charakterystycznych elementów DeepLoad jest sposób dostarczania drugiego etapu. Biblioteka DLL ma być generowana dynamicznie przy każdym uruchomieniu i zapisywana w katalogu tymczasowym pod zmienną nazwą. To utrudnia wykrywanie oparte na sygnaturach i ogranicza możliwość łatwego powiązania incydentów na podstawie tych samych artefaktów plikowych.
Loader ogranicza również widoczność swojej aktywności, między innymi przez redukowanie śladów w historii poleceń PowerShell oraz korzystanie bezpośrednio z funkcji systemowych. Z perspektywy obrony oznacza to mniejszą skuteczność narzędzi polegających wyłącznie na standardowej telemetrii skryptowej lub prostym monitoringu uruchomień.
Kolejnym etapem jest wstrzyknięcie kodu do legalnego procesu LockAppHost.exe z użyciem techniki APC injection. Dzięki temu złośliwy ładunek może działać wewnątrz zaufanego procesu systemowego, ograniczając liczbę jednoznacznych wskaźników kompromitacji na dysku. W połączeniu z wykonaniem w pamięci znacząco utrudnia to analizę i wykrywanie przez klasyczne rozwiązania antywirusowe.
DeepLoad koncentruje się przede wszystkim na kradzieży poświadczeń. Funkcja credential stealera działa równolegle do głównego loadera, a kanał eksfiltracji danych uwierzytelniających ma być oddzielony od podstawowej komunikacji command-and-control. Taki podział zwiększa odporność operacji atakujących i utrudnia analizę ruchu sieciowego.
Dodatkowym zagrożeniem jest instalacja złośliwego rozszerzenia przeglądarki. Taki komponent może przechwytywać aktywne sesje, otwarte karty, tokeny sesyjne, zapisane hasła oraz inne dane związane z bieżącą aktywnością użytkownika. W praktyce umożliwia to przejmowanie kont, zwłaszcza gdy ofiara jest już zalogowana do usług chmurowych, paneli administracyjnych lub portfeli kryptowalutowych.
Zaobserwowano również możliwość propagacji z wykorzystaniem nośników USB. Nawet jeśli nie jest to natywny element samego DeepLoad, obecność takiego etapu w kampanii zwiększa ryzyko dalszego rozprzestrzeniania się zagrożenia w środowiskach o słabszej segmentacji i ograniczonej kontroli urządzeń przenośnych.
Konsekwencje / ryzyko
Najbardziej bezpośrednim skutkiem infekcji jest utrata poświadczeń oraz przejęcie aktywnych sesji użytkownika. W środowisku firmowym może to oznaczać kompromitację kont pocztowych, dostępu VPN, konsol administracyjnych, aplikacji SaaS oraz innych zasobów o podwyższonym znaczeniu biznesowym.
Szczególnie narażone są organizacje, w których przeglądarka stanowi główny interfejs dostępu do aplikacji i danych. Złośliwe rozszerzenie może bowiem przechwytywać tokeny sesyjne i działać na poziomie aktywności zalogowanego użytkownika, co utrudnia wykrycie nadużycia i może ograniczać skuteczność części mechanizmów MFA.
Ryzyko operacyjne zwiększa także połączenie socjotechniki, wykonania w pamięci, dynamicznie generowanych komponentów oraz iniekcji kodu do zaufanych procesów. Taki zestaw technik obniża skuteczność tradycyjnych zabezpieczeń i wymaga od organizacji bardziej zaawansowanej telemetrii endpointów, monitoringu PowerShell oraz korelacji zdarzeń na poziomie hosta i sieci.
Rekomendacje
Organizacje powinny traktować ClickFix jako odrębną klasę zagrożeń socjotechnicznych i uwzględnić ten scenariusz w szkoleniach użytkowników. Najważniejszy komunikat powinien być jednoznaczny: prawidłowy komunikat błędu przeglądarki lub systemu nie wymaga ręcznego wklejania poleceń do okna Uruchamianie ani terminala.
- Wdrożyć ścisłe monitorowanie i ograniczanie użycia PowerShell, w tym rejestrowanie poleceń i alertowanie na nietypowe uruchomienia.
- Uruchomić detekcję iniekcji kodu do procesów systemowych, szczególnie anomalii związanych z LockAppHost.exe.
- Wprowadzić kontrolę i audyt rozszerzeń przeglądarek z wykorzystaniem list dozwolonych dodatków.
- Ograniczyć przechowywanie haseł w przeglądarkach i stosować MFA odporne na przejęcie sesji tam, gdzie to możliwe.
- Monitorować katalogi tymczasowe pod kątem dynamicznie tworzonych bibliotek DLL i nietypowych wzorców uruchomień.
- Blokować lub ściśle kontrolować użycie urządzeń USB, zwłaszcza na stacjach roboczych o podwyższonym profilu ryzyka.
W przypadku podejrzenia kompromitacji konieczne jest zresetowanie haseł, unieważnienie aktywnych sesji, przegląd zainstalowanych rozszerzeń przeglądarki oraz analiza artefaktów PowerShell. Należy również sprawdzić, czy przejęte tokeny nie zostały wykorzystane wtórnie w usługach chmurowych i systemach zarządzania tożsamością.
Podsumowanie
DeepLoad pokazuje, że skuteczność współczesnych kampanii malware wynika nie tylko z zaawansowania technicznego kodu, ale również z umiejętnego połączenia socjotechniki z metodami utrudniającymi wykrycie. ClickFix zapewnia prosty i skuteczny wektor wejścia, a kolejne etapy infekcji obejmują dynamiczne generowanie komponentów, wykonanie w pamięci, iniekcję do legalnych procesów i przejęcie aktywności przeglądarkowej.
Dla organizacji oznacza to konieczność równoczesnego wzmacniania świadomości użytkowników, monitoringu endpointów oraz ochrony tożsamości. Nawet pojedyncza infekcja stacji roboczej może bowiem szybko przełożyć się na znacznie szerszy incydent bezpieczeństwa.
Źródła
- SecurityWeek – New DeepLoad Malware Dropped in ClickFix Attacks
https://www.securityweek.com/new-deepload-malware-dropped-in-clickfix-attacks/ - ReliaQuest – analiza kampanii ClickFix i DeepLoad
https://reliaquest.com/ - ZeroFox – informacje o reklamowaniu DeepLoad w cyberprzestępczym podziemiu
https://www.zerofox.com/