Новый сложный загрузчик вредоносного программного обеспечения, получивший название "DeepLoad", был идентифицирован как ключевой компонент продолжающейся кампании кибершпионажа под названием "ClickFix". Исследователи безопасности обнаружили эту угрозу, которая предназначена для развертывания дополнительных полезных нагрузок на скомпрометированных системах с высокой степенью скрытности. Кампания ClickFix использует умные тактики социальной инженерии, часто начинаясь с фишинговых электронных писем, содержащих вредоносные ссылки или вложения. Как только пользователь взаимодействует с приманкой, вредоносная программа DeepLoad незаметно загружается и выполняется, создавая плацдарм для злоумышленников, чтобы потенциально украсть конфиденциальные данные, развернуть программы-вымогатели или получить долгосрочный постоянный доступ к корпоративным сетям. Это открытие подчеркивает непрерывную эволюцию инструментов первоначального доступа, используемых субъектами угроз для обхода традиционных средств защиты.
Технический анализ DeepLoad выявляет многоэтапную файловую атаку, разработанную для уклонения от обнаружения. Загрузчик использует передовые методы обфускации и использует законные процессы системы Windows и механизмы сценариев для выполнения своего вредоносного кода непосредственно в памяти, оставляя минимальные следы на диске. После установки первоначального выполнения DeepLoad связывается с командным сервером (C2), чтобы получить вторичные полезные нагрузки, которые могут включать сборщики информации, трояны удаленного доступа (RAT) или майнеры криптовалюты. Модульный характер вредоносного ПО и использование законных двоичных файлов (LoLBins) делают его особенно сложным для обнаружения традиционными антивирусными решениями, поскольку он размывает грань между законной активностью системы и вредоносными операциями.
Основными целями кампании ClickFix, по-видимому, являются организации в различных секторах, с особым вниманием к субъектам в сфере технологий, финансов и профессиональных услуг. Злоумышленники демонстрируют четкое понимание операционной среды своих целей, создавая убедительные приманки, имитирующие обновления программного обеспечения, уведомления о счетах или подтверждения доставки. Такое стратегическое целеполагание предполагает участие финансово мотивированной или связанной с государством группы угроз, стремящейся получить ценную интеллектуальную собственность или финансовые данные. Было обнаружено, что инфраструктура кампании использует скомпрометированные веб-сайты и недавно зарегистрированные домены для размещения вредоносных компонентов, что еще больше усложняет оборонительные усилия.
В ответ на эту новую угрозу специалисты по кибербезопасности рекомендуют многоуровневую стратегию защиты. Организации должны улучшить обучение сотрудников по вопросам безопасности, чтобы распознавать сложные фишинговые попытки. На техническом уровне критически важными шагами являются внедрение белых списков приложений, мониторинг аномального поведения процессов и сетевых подключений, а также развертывание решений для обнаружения и реагирования на конечных точках (EDR), способных анализировать память. Кроме того, поддержание строгого управления исправлениями и ограничение выполнения механизмов сценариев, таких как PowerShell и WScript, для обычных пользователей могут значительно сократить поверхность атаки. Обнаружение DeepLoad служит мощным напоминанием о том, что ландшафт угроз постоянно меняется, требуя от защитников проактивной и адаптивной позиции в области безопасности.
