概要
新しい「DeepLoad」マルウェアは、ユーザーの単一のクリック操作を利用して企業ネットワーク内にファイルレスで資格情報窃取型の持続性を作り出す。このマルウェアは、ClickFixという社会工学的手法とAI生成の難読化技術を使用して従来の防御を回避している。
DeepLoad マルウェアの到着方法
DeepLoadは、ユーザーに「修正」コマンドをWindows Runやターミナルに入力するよう指示することで到達します。これにより、ユーザー操作が正当なユーザーオペレーションであるかのように見え、マルウェア実行とは認識されません。
ClickFix 技術の詳細
このキャンペーンでは、PowerShellコマンドを実行することでリモートローダーとスケジュールされたタスクが作成され、攻撃者は再起動後のアクセス権限を得ることができます。
AI生成の難読化技術
DeepLoadのPowerShellローダーは、数千の意味のない変数設定と良性に見えるドメインへの参照でパディングされ、静的スキャナが小さな実際の論理ブロックを特定するのが困難になります。
プロセス選択とAPCインジェクション
DeepLoadは信頼されたWindowsプロセス内に隠れて通常のアクティビティの中に紛れ込みます。LockAppHost.exeなどのプロセスを使用して、攻撃者は難読化されたシェルコードをメモリ内でデコードし、ファイルベースエンジンがマッチングする具体的なものを提供しません。
USB経由の拡散とWMI再感染
DeepLoadはUSBドライブを通じて迅速に拡散します。攻撃者は、開かれたときに再感染チェーンがトリガーされるように偽装されたショートカットファイルを多数作成します。
検出と対策
リリアクエストは、PowerShellスクリプトブロックログの有効化やmshta.exe活動の監視など、リアルタイムでの振る舞いに基づく可視性が重要であると強調しています。