Malware DeepLoad wykrada dane z przeglądarek, wykorzystując ClickFix i WMI Persistence

Cyberprzestępcy nieustannie modyfikują swoje narzędzia, a najnowsza kampania odkryta przez badaczy z ReliaQuest stanowi brutalne przypomnienie, że tradycyjne skanery antywirusowe coraz częściej przegrywają z algorytmiczną precyzją. Pojawienie się DeepLoad, zupełnie nowego loadera złośliwego oprogramowania, rzuca światło na ewolucję technik maskowania. Narzędzie to, wykorzystując mechanizm ClickFix, nie tylko skutecznie infekuje systemy, ale robi to w sposób niemal niewidoczny dla statycznych systemów analizy, co czyni go jednym z najciekawszych i zarazem najgroźniejszych zagrożeń ostatnich miesięcy.

Kluczem do sukcesu DeepLoad jest połączenie socjotechniki z zaawansowaną inżynierią oprogramowania. Zamiast polegać na klasycznych załącznikach w wiadomościach e-mail, napastnicy stawiają na interakcję z użytkownikiem, która imituje rozwiązanie problemu technicznego. To podejście sprawia, że ofiara sama, w pełni świadomie, wykonuje instrukcje prowadzące do pełnej kompromitacji systemu. W świecie, w którym edukacja w zakresie cyberbezpieczeństwa staje się standardem, DeepLoad pokazuje, że odpowiednio przygotowana manipulacja wciąż potrafi przełamać nawet najszczelniejsze bariery ludzkiej czujności.

ClickFix jako fundament skutecznej infekcji

Taktyka ClickFix, na której opiera się dystrybucja DeepLoad, to wyrafinowana forma inżynierii społecznej. Użytkownik trafia na spreparowaną stronę internetową, która wyświetla fałszywy komunikat o błędzie — na przykład o problemie z wyświetlaniem czcionek lub błędem certyfikatu przeglądarki. Rozwiązaniem sugerowanym przez witrynę jest skopiowanie i wklejenie „poprawki” bezpośrednio do terminala systemu operacyjnego (PowerShell lub CMD). W rzeczywistości użytkownik kopiuje złośliwy skrypt, który inicjuje pobieranie właściwego ładunku DeepLoad.

To, co wyróżnia tę kampanię, to fakt, że DeepLoad prawdopodobnie korzysta z obfuskacji wspomaganej przez AI. Dzięki temu kod malware zmienia swoją strukturę w taki sposób, aby uniknąć wykrycia przez sygnatury znane systemom antywirusowym. Jak zauważa badacz Thassanai z ReliaQuest, techniki wstrzykiwania procesów (process injection) stosowane przez loader pozwalają mu na działanie wewnątrz zaufanych procesów systemowych, co czyni go niemal niemożliwym do wykrycia przez proste narzędzia monitorujące aktywność plików.

• Wykorzystanie ClickFix do ominięcia filtrów antyspamowych.
• Dynamiczna obfuskacja kodu utrudniająca analizę statyczną.
• Wstrzykiwanie złośliwego kodu do legalnych procesów Windows.
• Natychmiastowe rozpoczęcie procedury kradzieży danych po uruchomieniu.

Trwałość dzięki WMI i natychmiastowa kradzież poświadczeń

Jedną z najbardziej niepokojących cech DeepLoad jest jego zdolność do utrzymania się w systemie, nawet po restarcie komputera. Wykorzystuje on do tego WMI (Windows Management Instrumentation) Persistence. Poprzez tworzenie niestandardowych filtrów zdarzeń i konsumentów w ramach WMI, malware potrafi uruchamiać się automatycznie przy spełnieniu określonych warunków systemowych. Jest to technika niezwykle trudna do usunięcia, ponieważ nie opiera się na prostych kluczach rejestru Autorun, które są rutynowo sprawdzane przez administratorów.

Gdy tylko loader zostanie aktywowany, natychmiast przystępuje do kradzieży poświadczeń z przeglądarek internetowych. Co istotne, proces ten jest odseparowany od głównego modułu loadera. Oznacza to, że nawet jeśli systemy bezpieczeństwa zdołają zablokować główny proces DeepLoad w trakcie jego działania, moduł kradnący dane może już zdążyć przejąć hasła, pliki cookies oraz sesje przeglądarki. Atakujący celują przede wszystkim w dane logowania do usług chmurowych, co otwiera drogę do dalszych ataków na infrastrukturę korporacyjną.

Skuteczność DeepLoad w kradzieży sesji (session hijacking) jest szczególnie groźna w dobie powszechnego uwierzytelniania dwuskładnikowego (2FA). Przejmując aktywne tokeny sesyjne, napastnicy mogą ominąć konieczność podawania drugiego składnika, uzyskując bezpośredni dostęp do konta ofiary tak, jakby korzystali z jej własnego urządzenia. To sprawia, że kradzież poświadczeń staje się punktem wyjścia do znacznie szerszych operacji szpiegowskich lub finansowych.

Architektura Zero Trust jako odpowiedź na zagrożenie

W obliczu zagrożeń takich jak DeepLoad, tradycyjne podejście do bezpieczeństwa oparte na VPN staje się niewystarczające. VPN z natury pozwala na ruch boczny (lateral movement) po uzyskaniu dostępu do sieci, co w przypadku zainfekowania jednej stacji roboczej przez loader może prowadzić do paraliżu całej organizacji. Rozwiązaniem, które zyskuje na znaczeniu, jest ZTNA (Zero Trust Network Access). Model ten zakłada, że żaden użytkownik ani urządzenie nie jest domyślnie godne zaufania, niezależnie od tego, czy znajduje się wewnątrz, czy na zewnątrz sieci firmowej.

„Nowoczesne podejście do bezpiecznego dostępu musi eliminować ruch boczny poprzez bezpośrednie łączenie użytkowników z aplikacjami, a nie z całą siecią.”

Wdrożenie ZTNA pozwala na segmentację dostępu na poziomie aplikacji. Nawet jeśli DeepLoad zdoła ukraść poświadczenia użytkownika, napastnik będzie miał ograniczony dostęp tylko do tych zasobów, do których ofiara miała konkretne uprawnienia. Systemy Zero Trust stale weryfikują tożsamość, kontekst urządzenia oraz stan bezpieczeństwa końcówki, co drastycznie skraca czas życia skradzionych sesji i utrudnia eksploatację przejętych danych.

Nowa era złośliwego oprogramowania

Pojawienie się DeepLoad to sygnał, że twórcy malware coraz śmielej sięgają po techniki automatyzacji i sztucznej inteligencji, aby wyprzedzić systemy obronne. Wykorzystanie ClickFix pokazuje, że najsłabszym ogniwem pozostaje człowiek, a techniczna doskonałość loadera w zakresie WMI Persistence dowodzi, że raz wpuszczony intruz jest niezwykle trudny do usunięcia. Organizacje muszą przestać polegać na statycznej ochronie i zacząć inwestować w zaawansowaną analitykę behawioralną oraz modele dostępu oparte na braku zaufania.

Ewolucja DeepLoad sugeruje, że w najbliższym czasie zobaczymy więcej loaderów, które nie tylko kradną dane, ale pełnią funkcję „przyczółka” dla bardziej skomplikowanych operacji typu ransomware. Kluczowe dla bezpieczeństwa globalnych przedsiębiorstw będzie odejście od przestarzałych rozwiązań VPN na rzecz kompleksowych strategii ZTNA, które są w stanie zneutralizować skutki kradzieży poświadczeń, zanim przerodzą się one w pełnoskalowy incydent naruszenia danych. Skuteczna obrona przed DeepLoad nie polega już tylko na blokowaniu plików, ale na uniemożliwieniu napastnikowi wykorzystania zdobytych informacji wewnątrz struktury firmy.