Una nueva campa帽a ha aprovechado la t谩ctica de ingenier铆a social de ClickFix como una forma de distribuir un cargador de malware previamente no documentado conocido como Carga profunda.
芦Es probable que utilice ofuscaci贸n asistida por IA e inyecci贸n de procesos para evadir el escaneo est谩tico, mientras que el robo de credenciales comienza inmediatamente y captura contrase帽as y sesiones incluso si el cargador principal est谩 bloqueado禄, dijeron los investigadores de ReliaQuest Thassanai McCabe y Andrew Currie en un informe compartido con The Hacker News.
El punto de partida de la cadena de ataque es un se帽uelo ClickFix que enga帽a a los usuarios para que ejecuten comandos de PowerShell pegando el comando en el cuadro de di谩logo Ejecutar de Windows con el pretexto de abordar un problema inexistente. Este, a su vez, utiliza 芦mshta.exe禄, una utilidad leg铆tima de Windows para descargar y ejecutar un cargador PowerShell ofuscado.
Se ha descubierto que el cargador, por su parte, oculta su funcionalidad real entre asignaciones de variables sin sentido, probablemente en un intento de enga帽ar a las herramientas de seguridad. Se eval煤a que los actores de amenazas confiaron en una herramienta de inteligencia artificial (IA) para desarrollar la capa de ofuscaci贸n.
DeepLoad hace esfuerzos deliberados para integrarse con la actividad habitual de Windows y pasar desapercibido. Esto incluye ocultar la carga 煤til dentro de un ejecutable llamado 芦LockAppHost.exe禄, un proceso leg铆timo de Windows que administra la pantalla de bloqueo.
Adem谩s, el malware oculta sus propias huellas al desactivar el historial de comandos de PowerShell e invocar directamente las funciones principales nativas de Windows en lugar de depender de los comandos integrados de PowerShell para iniciar procesos y modificar la memoria. Al hacerlo, evita los ganchos de monitoreo comunes que controlan la actividad basada en PowerShell.
芦Para evadir la detecci贸n basada en archivos, DeepLoad genera un componente secundario sobre la marcha utilizando la caracter铆stica incorporada de PowerShell Add-Type, que compila y ejecuta c贸digo escrito en C#禄, dijo ReliaQuest. 芦Esto produce un archivo temporal de biblioteca de v铆nculos din谩micos (DLL) que se coloca en el directorio Temp del usuario禄.
Esto ofrece una manera para que el malware eluda las detecciones basadas en nombres de archivos, ya que la DLL se compila cada vez que se ejecuta y se escribe con un nombre de archivo aleatorio.
Otra t谩ctica de evasi贸n de defensa notable adoptada por DeepLoad es el uso de la inyecci贸n de llamada a procedimiento asincr贸nico (APC) para ejecutar la carga 煤til principal dentro de un proceso confiable de Windows sin una carga 煤til decodificada escrita en el disco despu茅s de iniciar el proceso de destino en un estado suspendido, escribir shellcode en su memoria y luego reanudar la ejecuci贸n del proceso.
DeepLoad est谩 dise帽ado para facilitar el robo de credenciales extrayendo las contrase帽as del navegador del host. Tambi茅n elimina una extensi贸n de navegador maliciosa que intercepta las credenciales a medida que se ingresan en las p谩ginas de inicio de sesi贸n y persiste en las sesiones de los usuarios a menos que se elimine expl铆citamente.
Una caracter铆stica m谩s peligrosa del malware es su capacidad de detectar autom谩ticamente cuando se conectan dispositivos de medios extra铆bles, como unidades USB, y copiar los archivos con malware usando nombres como 芦ChromeSetup.lnk禄, 芦Firefox Installer.lnk禄 y 芦AnyDesk.lnk禄 para desencadenar la infecci贸n una vez que se hace doble clic.
芦DeepLoad utiliz贸 el Instrumental de administraci贸n de Windows (WMI) para reinfectar un host ‘limpio’ tres d铆as despu茅s sin acci贸n del usuario ni interacci贸n del atacante禄, explic贸 ReliaQuest. 芦WMI cumpli贸 dos prop贸sitos: rompi贸 las cadenas de procesos padre-hijo para las cuales la mayor铆a de las reglas de detecci贸n est谩n dise帽adas para detectar, y cre贸 una suscripci贸n de evento WMI que silenciosamente volvi贸 a ejecutar el ataque m谩s tarde禄.
Al parecer, el objetivo es implementar malware multiprop贸sito que pueda realizar acciones maliciosas a lo largo de la cadena de ciberataque y eludir la detecci贸n mediante controles de seguridad al evitar escribir artefactos en el disco, mezclarse con los procesos de Windows y propagarse r谩pidamente a otras m谩quinas.
La divulgaci贸n se produce cuando G DATA detall贸 otro cargador de malware denominado Kiss Loader que se distribuye a trav茅s de archivos de acceso directo a Internet (URL) de Windows adjuntos a correos electr贸nicos de phishing, que luego se conecta a un recurso WebDAV remoto alojado en un dominio TryCloudflare para servir un acceso directo secundario que se hace pasar por un documento PDF.
Una vez ejecutado, el acceso directo inicia un script WSH responsable de ejecutar un componente JavaScript, que procede a recuperar y ejecutar un script por lotes que muestra un PDF se帽uelo, configura la persistencia en la carpeta Inicio y descarga el Kiss Loader basado en Python. En la etapa final, el cargador descifra y ejecuta Venom RAT, una variante de AsyncRAT, mediante inyecci贸n de APC.
Actualmente no se sabe qu茅 tan extendidos est谩n los ataques que implementan Kiss Loader y si se ofrece bajo un modelo de malware como servicio (MaaS). Dicho esto, el actor de amenazas detr谩s del cargador afirma ser de Malawi.
