Una nueva campaña ha aprovechado la táctica de ingeniería social ClickFix para distribuir un cargador de malware previamente no documentado, denominado DeepLoad. Según los investigadores de ReliaQuest, Thassanai McCabe y Andrew Currie, en un informe compartido con The Hacker News, "probablemente utiliza ofuscación asistida por IA e inyección de procesos para evadir el escaneo estático, mientras que el robo de credenciales comienza de inmediato y captura contraseñas y sesiones incluso si el cargador principal es bloqueado".
El punto de partida de la cadena de ataque es un señuelo ClickFix que engaña a los usuarios para que ejecuten comandos de PowerShell pegando el comando en el cuadro de diálogo Ejecutar de Windows con el pretexto de solucionar un problema inexistente. Esto, a su vez, utiliza "mshta.exe", una utilidad legítima de Windows, para descargar y ejecutar un cargador de PowerShell ofuscado.
Se ha descubierto que el cargador oculta su funcionalidad real entre asignaciones de variables sin sentido, probablemente en un intento de engañar a las herramientas de seguridad. Se evalúa que los actores de amenazas utilizaron una herramienta de inteligencia artificial (IA) para desarrollar la capa de ofuscación.
DeepLoad realiza esfuerzos deliberados para mezclarse con la actividad normal de Windows y pasar desapercibido. Esto incluye ocultar la carga útil dentro de un ejecutable llamado "LockAppHost.exe", un proceso legítimo de Windows que gestiona la pantalla de bloqueo. Además, el malware cubre sus propias pistas desactivando el historial de comandos de PowerShell e invocando funciones nativas del núcleo de Windows directamente en lugar de utilizar los comandos integrados de PowerShell para lanzar procesos y modificar la memoria. De esta manera, evita los ganchos de monitoreo comunes que rastrean la actividad basada en PowerShell.
"Para evadir la detección basada en archivos, DeepLoad genera un componente secundario sobre la marcha utilizando la característica integrada de PowerShell Add-Type, que compila y ejecuta código escrito en C#", explicó ReliaQuest. "Esto produce un archivo de biblioteca de vínculos dinámicos (DLL) temporal que se coloca en el directorio Temp del usuario". Esto ofrece una forma para que el malware evite las detecciones basadas en nombres de archivo, ya que el DLL se compila cada vez que se ejecuta y se escribe con un nombre de archivo aleatorio.
Otra táctica notable de evasión de defensas adoptada por DeepLoad es el uso de inyección de llamada a procedimiento asincrónico (APC) para ejecutar la carga útil principal dentro de un proceso confiable de Windows sin que una carga útil decodificada se escriba en el disco después de lanzar el proceso objetivo en estado suspendido, escribir shellcode en su memoria y luego reanudar la ejecución del proceso.
DeepLoad está diseñado para facilitar el robo de credenciales extrayendo contraseñas del navegador del host. También deja caer una extensión maliciosa del navegador que intercepta las credenciales a medida que se ingresan en las páginas de inicio de sesión y persiste en todas las sesiones de usuario a menos que se elimine explícitamente. Una característica más peligrosa del malware es su capacidad para detectar automáticamente cuándo se conectan dispositivos de medios extraíbles, como unidades USB, y copiar los archivos infectados con el malware utilizando nombres como "ChromeSetup.lnk", "Firefox Installer.lnk" y "AnyDesk.lnk" para desencadenar la infección una vez que se haga doble clic.
"DeepLoad utilizó Instrumentación de Administración de Windows (WMI) para reinfectar un host 'limpio' tres días después sin acción del usuario y sin interacción del atacante", explicó ReliaQuest. "WMI cumplió dos propósitos: rompió las cadenas de procesos padre-hijo que la mayoría de las reglas de detección están diseñadas para capturar, y creó una suscripción de eventos WMI que silenciosamente reejecutó el ataque más tarde".
El objetivo, al parecer, es implementar un malware multipropósito que pueda realizar acciones maliciosas a lo largo de la cadena de ciberataque y evadir la detección por parte de los controles de seguridad evitando escribir artefactos en el disco, mezclándose con los procesos de Windows y propagándose rápidamente a otras máquinas. Se desconoce exactamente cuándo comenzó a utilizarse el malware en ataques del mundo real o la escala general de la actividad en este momento. Sin embargo, un portavoz de ReliaQuest dijo a The Hacker News que es "muy nuevo" y que "su entrega a través de ClickFix sugiere que tiene el potencial de propagarse más ampliamente". "La infraestructura y la implementación plantilla asociadas con DeepLoad pueden ser consistentes con un marco basado en servicios o compartido; sin embargo, no podemos determinarlo de manera concluyente en esta etapa si se ofrece como parte de un modelo MaaS [malware como servicio]", agregó el portavoz.
La divulgación se produce cuando G DATA detalló otro cargador de malware llamado Kiss Loader que se distribuye a través de archivos de acceso directo de Internet de Windows (URL) adjuntos a correos electrónicos de phishing, que luego se conecta a un recurso WebDAV remoto alojado en un dominio TryCloudflare para servir un acceso directo secundario que se hace pasar por un documento PDF. Una vez ejecutado, el acceso directo lanza un script WSH responsable de ejecutar un componente JavaScript, que procede a recuperar y ejecutar un script por lotes que muestra un PDF señuelo, establece persistencia en la carpeta de Inicio y descarga el cargador Kiss Loader basado en Python. En la etapa final, el cargador descifra y ejecuta Venom RAT, una variante de AsyncRAT, mediante inyección APC. Actualmente no se sabe qué tan extendidos están los ataques que implementan Kiss Loader, y si se ofrece bajo un modelo de malware como servicio (MaaS). Dicho esto, el actor de amenazas detrás del cargador afirma ser de Malawi.
