Исследователи из компании ReliaQuest обнаружили ранее неизвестный вредоносный загрузчик DeepLoad, который распространяется через приём социальной инженерии ClickFix. Суть приёма проста до обидного: жертве показывают фейковое сообщение об ошибке и предлагают «исправить» её, вставив команду в стандартное окно Windows Run. Человек копирует текст, нажимает Enter, и на этом его участие заканчивается. Дальше всё происходит автоматически.
Вставленная команда запускает mshta.exe — штатную утилиту Windows — которая скачивает и выполняет обфусцированный PowerShell-скрипт. Исследователи Тассанаи Маккейб и Эндрю Карри из ReliaQuest полагают, что обфускация генерировалась с помощью искусственного интеллекта: вредоносная логика спрятана среди бессмысленных присвоений переменных, и структура кода выглядит характерно «машинной». Скрипт при этом отключает запись истории команд PowerShell — чтобы аналитикам потом было нечего читать.
Для маскировки DeepLoad внедряется в легитимный процесс LockAppHost.exe, который отвечает за экран блокировки Windows. Вредонос не пользуется стандартными командлетами PowerShell для запуска процессов или работы с памятью. Вместо этого он напрямую вызывает низкоуровневые функции ядра Windows, обходя стандартные средства мониторинга. Чтобы ещё сильнее затруднить обнаружение, загрузчик через встроенную возможность Add-Type компилирует C-код «на лету». Результат — временная DLL-библиотека с рандомизированным именем, которая падает в папку Temp пользователя и ускользает от детекции по имени файла.
Для непосредственного исполнения полезной нагрузки используется APC-инъекция (Asynchronous Procedure Call). Целевой процесс запускается в приостановленном состоянии, в его память записывается шелл-код, после чего выполнение возобновляется. На диске при этом не остаётся расшифрованного пейлоада — всё происходит исключительно в оперативной памяти.
Сразу после заражения DeepLoad извлекает сохранённые пароли из браузеров. Но этим дело не ограничивается: вредонос устанавливает вредоносное браузерное расширение, которое перехватывает вводимые учётные данные на страницах авторизации в реальном времени. Расширение переживает перезагрузки и сохраняется между сессиями.
Отдельная и довольно неприятная функция — автоматическое распространение через съёмные носители. DeepLoad отслеживает подключение USB-накопителей и копирует на них свои файлы, маскируя их под знакомые ярлыки: ChromeSetup.lnk, Firefox Installer.lnk, AnyDesk.lnk. Расчёт на то, что кто-нибудь на другом компьютере кликнет по «установщику Chrome» не задумываясь.
Механизм закрепления в системе заслуживает отдельного внимания. DeepLoad использует WMI (Windows Management Instrumentation) для двух целей. Во-первых, он разрывает цепочки родительских-дочерних процессов, что ломает многие правила детекции в SIEM-системах. Во-вторых, создаёт подписку на WMI-события для тихого повторного запуска. Исследователи зафиксировали, что «чистая» машина, с которой вредонос был удалён, оказалась заражена повторно через три дня — без какого-либо взаимодействия со стороны пользователя или атакующего. Система реинфицировала себя сама.
По оценке ReliaQuest, DeepLoad появился совсем недавно. Точная дата первого использования неизвестна. Есть предположение, что загрузчик может быть частью общей фреймворковой платформы или распространяться по модели MaaS (Malware-as-a-Service), но окончательных подтверждений пока нет.
Параллельно с DeepLoad специалисты из компании G DATA выявили другую активную кампанию, построенную вокруг загрузчика Kiss Loader. Этот инструмент написан на Python и доставляется через фишинговые письма с вложенными файлами-ярлыками формата URL. Ярлык обращается к удалённому ресурсу WebDAV, размещённому на домене TryCloudflare, и подгружает вторичный ярлык, замаскированный под PDF-документ. Дальше цепочка разворачивается через WSH-скрипт, JavaScript-компонент и batch-скрипт, который показывает жертве отвлекающий PDF, прописывается в папке автозагрузки и скачивает собственно Kiss Loader.
Конечная полезная нагрузка Kiss Loader — Venom RAT, вариант известного AsyncRAT. Для исполнения в памяти тоже применяется APC-инъекция. Масштабы кампании пока не ясны, как и вопрос, продаётся ли Kiss Loader как сервис. Известно одно: создатель или оператор утверждает, что родом из Малави.
Обе кампании показывают одну и ту же тенденцию: атакующие всё активнее полагаются на штатные инструменты Windows и бесфайловые техники, чтобы не оставлять следов на диске. Классический антивирус, сканирующий файлы, против таких приёмов уже малоэффективен.
Изображение носит иллюстративный характер
Вставленная команда запускает mshta.exe — штатную утилиту Windows — которая скачивает и выполняет обфусцированный PowerShell-скрипт. Исследователи Тассанаи Маккейб и Эндрю Карри из ReliaQuest полагают, что обфускация генерировалась с помощью искусственного интеллекта: вредоносная логика спрятана среди бессмысленных присвоений переменных, и структура кода выглядит характерно «машинной». Скрипт при этом отключает запись истории команд PowerShell — чтобы аналитикам потом было нечего читать.
Для маскировки DeepLoad внедряется в легитимный процесс LockAppHost.exe, который отвечает за экран блокировки Windows. Вредонос не пользуется стандартными командлетами PowerShell для запуска процессов или работы с памятью. Вместо этого он напрямую вызывает низкоуровневые функции ядра Windows, обходя стандартные средства мониторинга. Чтобы ещё сильнее затруднить обнаружение, загрузчик через встроенную возможность Add-Type компилирует C-код «на лету». Результат — временная DLL-библиотека с рандомизированным именем, которая падает в папку Temp пользователя и ускользает от детекции по имени файла.
Для непосредственного исполнения полезной нагрузки используется APC-инъекция (Asynchronous Procedure Call). Целевой процесс запускается в приостановленном состоянии, в его память записывается шелл-код, после чего выполнение возобновляется. На диске при этом не остаётся расшифрованного пейлоада — всё происходит исключительно в оперативной памяти.
Сразу после заражения DeepLoad извлекает сохранённые пароли из браузеров. Но этим дело не ограничивается: вредонос устанавливает вредоносное браузерное расширение, которое перехватывает вводимые учётные данные на страницах авторизации в реальном времени. Расширение переживает перезагрузки и сохраняется между сессиями.
Отдельная и довольно неприятная функция — автоматическое распространение через съёмные носители. DeepLoad отслеживает подключение USB-накопителей и копирует на них свои файлы, маскируя их под знакомые ярлыки: ChromeSetup.lnk, Firefox Installer.lnk, AnyDesk.lnk. Расчёт на то, что кто-нибудь на другом компьютере кликнет по «установщику Chrome» не задумываясь.
Механизм закрепления в системе заслуживает отдельного внимания. DeepLoad использует WMI (Windows Management Instrumentation) для двух целей. Во-первых, он разрывает цепочки родительских-дочерних процессов, что ломает многие правила детекции в SIEM-системах. Во-вторых, создаёт подписку на WMI-события для тихого повторного запуска. Исследователи зафиксировали, что «чистая» машина, с которой вредонос был удалён, оказалась заражена повторно через три дня — без какого-либо взаимодействия со стороны пользователя или атакующего. Система реинфицировала себя сама.
По оценке ReliaQuest, DeepLoad появился совсем недавно. Точная дата первого использования неизвестна. Есть предположение, что загрузчик может быть частью общей фреймворковой платформы или распространяться по модели MaaS (Malware-as-a-Service), но окончательных подтверждений пока нет.
Параллельно с DeepLoad специалисты из компании G DATA выявили другую активную кампанию, построенную вокруг загрузчика Kiss Loader. Этот инструмент написан на Python и доставляется через фишинговые письма с вложенными файлами-ярлыками формата URL. Ярлык обращается к удалённому ресурсу WebDAV, размещённому на домене TryCloudflare, и подгружает вторичный ярлык, замаскированный под PDF-документ. Дальше цепочка разворачивается через WSH-скрипт, JavaScript-компонент и batch-скрипт, который показывает жертве отвлекающий PDF, прописывается в папке автозагрузки и скачивает собственно Kiss Loader.
Конечная полезная нагрузка Kiss Loader — Venom RAT, вариант известного AsyncRAT. Для исполнения в памяти тоже применяется APC-инъекция. Масштабы кампании пока не ясны, как и вопрос, продаётся ли Kiss Loader как сервис. Известно одно: создатель или оператор утверждает, что родом из Малави.
Обе кампании показывают одну и ту же тенденцию: атакующие всё активнее полагаются на штатные инструменты Windows и бесфайловые техники, чтобы не оставлять следов на диске. Классический антивирус, сканирующий файлы, против таких приёмов уже малоэффективен.
