Wprowadzenie do problemu / definicja
DeepLoad to nowo opisany loader złośliwego oprogramowania, który łączy socjotechnikę, uruchamianie kodu przez PowerShell, techniki unikania detekcji oraz mechanizmy trwałości oparte o Windows Management Instrumentation. Atak rozpoczyna się od metody ClickFix, w której użytkownik jest nakłaniany do samodzielnego uruchomienia polecenia pod pozorem rozwiązania rzekomego problemu technicznego. Głównym celem kampanii jest przejęcie poświadczeń zapisanych w przeglądarkach oraz utrzymanie dostępu do zainfekowanej stacji roboczej.
W skrócie
- DeepLoad wykorzystuje przynętę ClickFix, aby skłonić ofiarę do wykonania polecenia w systemie Windows.
- Łańcuch infekcji obejmuje użycie legalnego narzędzia mshta.exe oraz zaciemnionego loadera PowerShell.
- Malware stosuje dynamiczną kompilację kodu C#, wstrzykiwanie APC i maskowanie aktywności jako legalne procesy systemowe.
- Zagrożenie kradnie hasła i sesje przeglądarkowe, instaluje złośliwe rozszerzenie oraz może rozprzestrzeniać się przez nośniki USB.
- Za trwałość odpowiada mechanizm WMI, który pozwala wznowić infekcję nawet po kilku dniach.
Kontekst / historia
W ostatnim czasie technika ClickFix zyskuje na popularności w kampaniach malware. Zamiast klasycznych załączników lub exploitów operatorzy ataku przekonują użytkownika, że musi ręcznie wkleić i uruchomić komendę, aby naprawić błąd, odblokować dokument albo potwierdzić dostęp. Taki model ogranicza skuteczność części tradycyjnych zabezpieczeń opartych na reputacji plików i prostym filtrowaniu.
DeepLoad wpisuje się w szerszy trend rozwoju lekkich, wielofunkcyjnych loaderów, które nie tylko dostarczają kolejny etap infekcji, ale również realizują kradzież danych, zapewniają trwałość, utrudniają analizę i wspierają dalszą propagację. Tego typu operacje pokazują, że współczesne kampanie coraz częściej łączą kilka warstw technicznych w jednym, elastycznym łańcuchu ataku.
Analiza techniczna
Infekcja rozpoczyna się od przynęty ClickFix. Ofiara otrzymuje instrukcję, aby wkleić polecenie do okna Uruchamianie w systemie Windows. Komenda uruchamia mshta.exe, czyli legalne narzędzie systemowe, które pobiera i wykonuje zaciemniony komponent PowerShell. Już ten etap pokazuje wykorzystanie podejścia living-off-the-land, polegającego na nadużywaniu natywnych składników systemu zamiast dostarczania łatwo wykrywalnych plików wykonywalnych.
Loader stosuje silną obfuskację, ukrywając właściwą logikę pomiędzy pozornie przypadkowymi deklaracjami i przypisaniami zmiennych. Dodatkowo malware maskuje się jako legalna aktywność Windows i wykorzystuje nazwę LockAppHost.exe, kojarzoną z natywnymi procesami systemowymi. Takie podejście utrudnia zarówno analizę statyczną, jak i wykrywanie oparte na prostych wskaźnikach.
Istotnym elementem działania jest ograniczanie śladów w systemie. DeepLoad wyłącza historię poleceń PowerShell i korzysta bezpośrednio z funkcji Windows do uruchamiania procesów oraz modyfikowania pamięci. Malware dynamicznie kompiluje także kod C# przy użyciu funkcji Add-Type, tworząc tymczasową bibliotekę DLL w katalogu Temp pod losową nazwą. Dzięki temu trudniej oprzeć detekcję na stałych artefaktach plikowych.
Kolejna warstwa obejmuje wstrzykiwanie kodu metodą APC. Mechanizm ten polega na uruchomieniu wybranego procesu w stanie wstrzymanym, zapisaniu shellcode do jego pamięci, a następnie wznowieniu wykonania. W praktyce umożliwia to uruchomienie głównego ładunku w kontekście zaufanego procesu Windows bez pozostawiania jawnie zdekodowanego payloadu na dysku.
Głównym celem operacyjnym DeepLoad jest kradzież poświadczeń. Malware pozyskuje hasła z przeglądarek, a dodatkowo instaluje złośliwe rozszerzenie, które może przechwytywać dane logowania wpisywane na stronach uwierzytelniania. Taki model zwiększa skuteczność kampanii, ponieważ pozwala przejąć zarówno zapisane sekrety, jak i świeżo wprowadzane dane oraz aktywne sesje.
Opisane zachowanie wskazuje również na zdolność do rozprzestrzeniania się przez nośniki USB. Po wykryciu podłączonego urządzenia malware kopiuje na nie zainfekowane pliki o nazwach sugerujących legalne instalatory lub narzędzia administracyjne. To zwiększa ryzyko rozszerzenia incydentu na kolejne stacje, zwłaszcza w środowiskach, gdzie nośniki wymienne nadal są wykorzystywane operacyjnie.
Szczególnie istotny jest komponent trwałości oparty o WMI. DeepLoad wykorzystuje subskrypcje zdarzeń WMI do ponownego uruchomienia infekcji po kilku dniach. Z perspektywy zespołów bezpieczeństwa oznacza to ryzyko nawrotu zagrożenia nawet po pozornym oczyszczeniu hosta i bez dodatkowej aktywności użytkownika.
Konsekwencje / ryzyko
Ryzyko związane z DeepLoad należy ocenić jako wysokie. Początkowy wektor ataku bazuje na interakcji użytkownika, co pozwala ominąć część zabezpieczeń blokujących podejrzane pliki i makra. Jednocześnie malware łączy obfuskację, dynamiczną kompilację, wykonanie kodu w pamięci, podszywanie się pod legalne procesy oraz mechanizmy trwałości trudne do wykrycia przy pobieżnej analizie.
Najpoważniejszą konsekwencją jest przejęcie poświadczeń przeglądarkowych, w tym haseł i aktywnych sesji. W środowisku firmowym może to prowadzić do naruszenia kont pocztowych, usług SaaS, VPN, paneli administracyjnych i systemów wewnętrznych. Jeśli użytkownik posiada szerokie uprawnienia lub synchronizuje dane logowania między urządzeniami, skala incydentu może szybko wyjść poza pojedynczy endpoint.
Dodatkowe zagrożenie wynika ze złośliwego rozszerzenia przeglądarkowego, które może działać długotrwale i przechwytywać dane po zakończeniu pierwszej fazy infekcji. Zdolność propagacji przez USB zwiększa natomiast ryzyko rozprzestrzenienia się malware do segmentów o ograniczonym dostępie sieciowym, a trwałość WMI utrudnia pełne usunięcie zagrożenia.
Rekomendacje
Organizacje powinny traktować kampanie ClickFix jako odrębną i rosnącą klasę zagrożeń. Kluczowe jest uwzględnienie tego scenariusza w szkoleniach awareness i jasne komunikowanie użytkownikom, że legalne wsparcie techniczne, strona logowania czy dokument biznesowy nie powinny wymagać ręcznego wklejania poleceń do okna Uruchamianie, PowerShell lub wiersza polecenia.
Po stronie technicznej warto monitorować uruchomienia mshta.exe, powershell.exe oraz nietypowe łańcuchy wykonania inicjowane z poziomu okna Run. Należy analizować użycie Add-Type, tworzenie tymczasowych bibliotek DLL w katalogach użytkownika oraz zachowania wskazujące na iniekcję kodu do zaufanych procesów. W systemach EDR i SIEM zasadne jest także budowanie detekcji pod kątem nietypowych subskrypcji zdarzeń WMI.
W obszarze ochrony tożsamości zalecane jest ograniczenie przechowywania haseł w przeglądarkach, wymuszanie MFA odpornego na phishing oraz monitorowanie anomalii logowania i przejęć sesji. Warto również centralnie kontrolować instalację rozszerzeń przeglądarkowych, blokować nieautoryzowane dodatki i regularnie audytować listę zainstalowanych rozszerzeń.
W środowiskach o podwyższonym poziomie ryzyka należy ograniczyć użycie nośników USB lub objąć je dodatkowymi mechanizmami kontroli. Procedury response powinny obejmować nie tylko usunięcie plików i procesów, ale również inspekcję trwałości WMI, zadań harmonogramu, wpisów autostartu, rozszerzeń przeglądarek oraz potencjalnie przejętych danych uwierzytelniających. Po wykryciu infekcji konieczna jest rotacja haseł i unieważnienie aktywnych sesji.
Podsumowanie
DeepLoad pokazuje, jak skuteczne może być połączenie socjotechniki z nadużywaniem legalnych mechanizmów Windows. Kampania wykorzystuje ClickFix do uruchomienia infekcji, a następnie łączy PowerShell, mshta, dynamiczną kompilację kodu, APC injection, złośliwe rozszerzenia przeglądarkowe, propagację przez USB i trwałość opartą o WMI. Dla obrońców najważniejsze pozostają trzy obszary: edukacja użytkowników, szeroka telemetria do wykrywania nietypowych ścieżek wykonania oraz dokładna analiza mechanizmów trwałości po incydencie.