Uma nova campanha tem explorado a tática de engenharia social conhecida como ClickFix para distribuir um malware loader inédito chamado DeepLoad.
Pesquisadores da ReliaQuest, Thassanai McCabe e Andrew Currie, explicam em um relatório compartilhado com o The Hacker News que o DeepLoad provavelmente utiliza obfuscação assistida por inteligência artificial (AI) e injeção de processo para evitar detecções estáticas.
O roubo de credenciais começa imediatamente, capturando senhas e sessões mesmo que o loader principal seja bloqueado.
O ataque inicia com uma isca ClickFix que engana o usuário para executar comandos PowerShell ao colar um comando no diálogo Executar do Windows, sob o pretexto de corrigir um problema inexistente.
Esse comando usa o mshta.exe, uma ferramenta legítima do Windows, para baixar e executar um loader PowerShell ofuscado.
O loader oculta sua verdadeira função por meio de atribuições de variáveis sem sentido, numa tentativa clara de enganar ferramentas de segurança.
Os pesquisadores acreditam que os atacantes usaram uma ferramenta de inteligência artificial para criar essa camada de obfuscação.
O DeepLoad busca se misturar ao funcionamento normal do Windows.
Esconde seu payload dentro de um executável chamado LockAppHost.exe, um processo legítimo responsável pela tela de bloqueio do sistema.
Além disso, o malware apaga seu histórico de comandos PowerShell e utiliza funções nativas do Windows diretamente, em vez de comandos PowerShell padrão, para iniciar processos e modificar a memória.
Isso permite evitar monitoramentos comuns que vigiam atividades baseadas em PowerShell.
Para escapar da detecção baseada em arquivos, o DeepLoad gera dinamicamente um componente secundário usando o recurso Add-Type do PowerShell, que compila e executa código em C#.
Ao criar um arquivo DLL temporário na pasta Temp do usuário com nome aleatório a cada execução, o malware dificulta a identificação pelo nome do arquivo.
Outra técnica importante de evasão é o uso da injeção por asynchronous procedure call (APC).
O DeepLoad injeta seu payload principal dentro de um processo confiável do Windows sem gravar um payload decodificado em disco.
Para isso, coloca o processo-alvo em estado suspenso, injeta o shellcode na memória e retoma a execução normalmente.
O malware é projetado para roubar credenciais, extraindo senhas armazenadas em browsers.
Também instala uma extensão maliciosa no navegador que intercepta informações inseridas nas páginas de login e permanece ativa mesmo após reiniciar, a menos que seja removida manualmente.
Uma função ainda mais perigosa do DeepLoad é a detecção automática de dispositivos removíveis, como pendrives.
Quando conectados, copia arquivos contaminados com nomes como ChromeSetup.lnk, Firefox Installer.lnk e AnyDesk.lnk.
Ao serem clicados, esses arquivos disparam a infecção.
A ReliaQuest revelou que o DeepLoad usa o Windows Management Instrumentation (WMI) para reinfectar máquinas aparentemente limpas três dias após a primeira infecção, sem qualquer ação do usuário ou interação do atacante.
O WMI quebra as cadeias de processos que regem as regras de detecção e cria assinaturas de eventos que reexecutam silenciosamente o ataque posteriormente.
O objetivo desse malware multifuncional é atuar em várias etapas do cyber kill chain, evitando a detecção por controles de segurança ao não deixar rastros em disco, se integrar a processos legítimos do Windows e se espalhar rapidamente para outras máquinas.
A divulgação ocorre simultaneamente a um estudo da G DATA que detalhou outro loader chamado Kiss Loader.
Esse malware é distribuído por arquivos de atalho do Windows (Internet Shortcut) anexados a emails de phishing.
O atalho conecta a um recurso WebDAV remoto hospedado em domínio TryCloudflare e serve um segundo atalho que se disfarça de documento PDF.
Quando executado, o atalho inicia um script WSH que roda um componente em JavaScript responsável por buscar e executar um script em lote que exibe um PDF falso, configura persistência na pasta Startup e baixa o Kiss Loader baseado em Python.
Na fase final, o loader descriptografa e executa o Venom RAT, uma variante do AsyncRAT, também usando injeção APC.
Ainda não se sabe a extensão dos ataques com o Kiss Loader nem se ele é oferecido como malware-as-a-service (MaaS).
O autor do loader alega ser originário do Malawi.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...