ReliaQuest研究员Thassanai McCabe和Andrew Currie最新报告点名一个新货:DeepLoad恶意加载器。攻击从ClickFix社交工程开始。用户被忽悠以为电脑出问题,乖乖在Windows运行对话框贴PowerShell命令。结果呢?命令调用mshta.exe这个正版Windows工具,下个混淆PowerShell加载器。
加载器藏得深。满屏无意义变量赋值,疑似AI工具帮忙搞的混淆层。直接逃静态扫描。DeepLoad伪装成LockAppHost.exe——Windows锁屏管理进程。关掉PowerShell命令历史。不用PowerShell内置命令,直接调Windows核心函数启动进程、改内存。绕过PowerShell监控钩子。
它还玩动态生成。内置Add-Type功能编译C#代码,生临时DLL丢用户Temp目录。每次跑都随机文件名。文件名检测?没门。接着APC注入:目标进程挂起,shellcode写内存,再恢复执行。不落地payload,信任进程里跑主程序。
偷凭证是主业。从浏览器拽密码。还下恶意扩展,登录页实时截胡。即使主加载器被挡,窃取照跑。连可移动设备都盯上。USB插上,自动复制带毒文件:ChromeSetup.lnk、Firefox Installer.lnk、AnyDesk.lnk。双击就中招。
更狠的WMI持久化。报告说,DeepLoad用Windows Management Instrumentation,三天后无用户动作、无攻击者干预,干净主机重感染。WMI断掉父子进程链,避开检测规则。还设事件订阅,悄无声息重跑攻击。
这玩意儿跨杀伤链。避磁盘痕迹,融Windows进程,速传机器。想想浏览器存加密钱包密码。现在BTC报$67,281(24h +1.22%),ETH $2,065(24h +3.38%)。钱包用户点开假修复,密码全丢。普通人防不住这种花招。
报告同期提Kiss Loader。钓鱼邮件附Windows互联网快捷方式(URL)。连TryCloudflare的WebDAV资源,拉二级快捷伪PDF。跑WSH脚本,JavaScript拽批处理脚本。假PDF幌子,Startup文件夹持久化,下Python基Kiss Loader。末尾解密Venom RAT——AsyncRAT变种,又APC注入。攻击者自称马拉维人。不明普及度,有无MaaS模式。
DeepLoad这些招,专治安全工具。过程注入、AI混淆、内存操作。杀软得升级动态分析。用户别信ClickFix。弹出“修复”?关掉重启。浏览器扩展手动查。USB别乱插。WMI这种系统级,EDR得盯紧事件订阅。
行业老鸟看多了。黑客越来越懒,AI帮写代码,Windows原生工具全用上。DeepLoad不落地,自传播。企业网管哭晕。个人用户更惨,一键中招。三天后复活,谁扛得住?安全厂商快动起来,别让这种货泛滥。加密圈尤其警醒,高价币诱人,凭证一偷血本无归。
ReliaQuest这报告及时。ClickFix不是新鲜,但DeepLoad打包升级版。G DATA的Kiss Loader也类似,邮件+WebDAV。链条长,层层伪装。攻击者图省事,全靠自动化。防御方呢?得全链路监控。从PowerShell到WMI,别漏一环。
现实中,多少人中过类似?浏览器密码明文存,扩展后门横行。USB杀手病毒旧招新用。DeepLoad加WMI,持久性拉满。三天。够你忘干净。赶紧查机子。任务管理器看LockAppHost.exe异常?杀掉。Temp目录扫DLL。浏览器扩展卸未知货。加密钱包转硬件,少存浏览器。
这波攻击,暴露Windows生态痛点。原生工具被滥,监控跟不上。微软该想想怎么限mshta.exe滥用。用户教育也关键。别贴命令。点修复?骗子。安全意识,练出来。DeepLoad只是开头,后面更多AI货色。醒醒吧。