Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Малициозниот софтвер „DeepLoad“ со вештачка интелигенција краде акредитиви, и избегнува откривање

Објавено: 31.03.2026

Големата количина на „junk“ код што ја прикрива логиката на малициозниот софтвер од безбедносните скенирања најверојатно е генерирана со помош на вештачка интелигенција, велат истражувачите.

Истражувачите открија нов вид малициозен софтвер способен да краде креденцијали веднаш по иницијалната компромитација на мрежата, собирајќи и зачувани лозинки од прелистувачи и живи внесови од тастатурата во реално време, преку посебен „stealer“ и малициозна browser екстензија.

Она што го прави овој малициозен софтвер особено тежок за неутрализирање, според ReliaQuest, е веројатната употреба на AI-генериран код и process injection техники за избегнување на алатки за детекција. Исто така, содржи механизам за перзистенција кој може тивко повторно да се активира дури и откако инфицираниот систем изгледа целосно исчистен.

Дистрибуција на DeepLoad преку ClickFix

Авторите на малициозниот софтвер, кој ReliaQuest го следи како „DeepLoad“, ја користат ClickFix техниката на социјален инженеринг за дистрибуција во корпоративни средини.

„DeepLoad краде креденцијали веднаш по активирањето, па дури и делумна неутрализација може да остави изложени лозинки, сесии и активни кориснички профили,“ предупредува ReliaQuest.
„Пред да заврши главниот нападен синџир, самостојниот credential stealer (filemanager.exe) веќе работи и може да ексфилтрира податоци дури и ако главниот loader биде детектиран и блокиран.“

Дополнително, малициозната browser екстензија што се инсталира може да собира креденцијали во реално време додека корисникот ги внесува, и останува активна низ сите сесии додека не биде рачно отстранета.

Како и кај повеќето ClickFix измами, нападот започнува со лажни browser пораки кои ги убедуваат корисниците да извршат команда за „поправка“ на наводна грешка. Оваа команда веднаш креира scheduled task за повторно извршување на loader-от, обезбедувајќи перзистенција и по рестартирање или делумна детекција.

Потоа, малициозниот софтвер користи mshta.exe (легитимна Windows алатка) за комуникација со инфраструктурата на напаѓачот и презема силно обфусциран PowerShell loader.

Силно обфусциран loader

Анализата на ReliaQuest покажува дека вистинскиот код на DeepLoad е „закопан“ под илјадници линии непотребен код, дизајниран да ги збуни статичките алатки за скенирање.

Огромната количина на ваков код укажува дека најверојатно е генериран со AI, а не напишан рачно.

Вистинската логика на нападот е кратка рутина за дешифрирање која го распакува малициозниот payload целосно во меморија. Потоа payload-от се инјектира во LockAppHost.exe, легитимен Windows процес поврзан со lock screen, кој ретко се следи од безбедносни алатки.

За оваа инјекција, DeepLoad користи PowerShell функција Add-Type за да генерира привремен DLL фајл во Temp директориумот. DLL-от се компајлира при секое извршување и добива случајно име, што значително ја отежнува детекцијата.

Дополнително, малициозниот софтвер ја оневозможува историјата на PowerShell команди за да ги прикрие своите активности.

Ширење преку USB уреди

Во анализираниот напад, DeepLoad се проширил и на поврзани USB уреди за помалку од 10 минути.

Малициозниот софтвер креирал над 40 фајлови маскирани како:

  • Chrome инсталери
  • Firefox инсталери
  • AnyDesk кратенки
  • други познати апликации

Целта е да се зголеми веројатноста корисник да кликне на некој од нив и да зарази друга машина.

Стандардно чистење не е доволно

ReliaQuest предупредува дека стандардните мерки (бришење scheduled tasks, temp фајлови и IoC) не се доволни.

Причината е што DeepLoad користи WMI (Windows Management Instrumentation) за да креира скриен механизам кој автоматски го повторува нападот без интеракција од корисникот.

Во еден случај, малициозниот софтвер повторно се активирал дури три дена по „чистење“ на системот.

Препораки за заштита

ReliaQuest препорачува:

  • Проверка и отстранување на WMI event subscriptions
  • Активирање на PowerShell Script Block Logging
  • Користење на behavioral endpoint monitoring
  • Промена на сите креденцијали (лозинки, сесии, токени) поврзани со компромитиран систем

„Индикациите дека кодот е генериран со AI значат дека обфускацијата може да еволуира од општ „шум“ кон специфично прилагоден код за секоја околина, што ќе го отежни откривањето,“ предупредува ReliaQuest.
„Како што WMI ќе стане дел од стандардните проверки, напаѓачите најверојатно ќе преминат кон други легитимни Windows механизми кои моментално добиваат помалку внимание.“

Извори:

  • DarkReading – New RoadK1ll WebSocket implant used to pivot on breached networks DarkReading