DeepLoadは、ファイルレスの状態に実装されたインフォスティーラー型マルウェアです。
企業を対象として展開されていることが観測されています。
どのようなものなのでしょうか。
- 始まりはClickFix
入口はClickFixです。
ユーザが偽のブラウザプロンプトやエラーメッセージを見た後、悪意のあるコマンドを貼り付けて実行するように仕向けられることから始まります。
このコマンドはペイロードを取得し、ローダーを繰り返し実行するスケジュールタスクを作成することで、永続的なアクセスを確立します。 - mshta.exeを使ったローダー
mshta.exeは、HTML Applicationを実行するコマンドです。
このマルウェアのローダーはmshta.exeを使います。
読み込まれるのは「.hta」という拡張子のファイルなのですが、これは実行環境ではmshta.exeに読み込まれるだけで、実行環境ではファイルの状態で保存されません。
そしてさらに、この中身の先頭部分には何の意味もない大量の変数定義が置かれていて、悪意あるコードはその下のほうに配置されています。
このことからメモリ内容をスキャンする機能を持つセキュリティ機構を使っていても、悪意あるコードの存在を発見することは容易ではないでしょう。 - 認証情報の収集
DeepLoadは、認証情報を収集します。
保存されたパスワードファイルを収集しますし、それに加えて、ユーザが入力する認証情報をその場で取得し、初期ローダーが検出されてブロックされた場合でも動作を継続できるようになっています。 - 認証情報収集の追加コンポーネント
メインの機構に認証情報収集の機構が搭載されていますが、それに加えて、別モジュールで認証情報収集の機能を持つものが読み込まれて動作します。 - ユーザ操作を記録するブラウザ拡張
動作を開始したマルウェアは、ブラウザセッション全体にわたってユーザのアクティビティを傍受するように設計された悪意のあるブラウザ拡張機能をインストールします。
これはブラウザ拡張としてインストールされますので、OSの再起動などを実施してもそのまま永続化された状態となります。
この拡張機能を停止させるには、ユーザが自身でその拡張を削除する必要があります。 - メモリ動作
DeepLoadは、メモリ上で動作します。
ロック画面に関連付けられたWindowsプロセスであるLockAppHost.exeにペイロードを注入します。
このプロセスはこれまであまり監視の対象になることが多くないモノでしたので、気がつかれない方法として選択されたものと思われます。
DeepLoadそのものはファイルレスで動作するのですが、DeepLoadを挿入する役割のDLLはファイルとして配置されます。
しかしそのDLLもランダムな名称で置かれるので、IoCベースのアプローチでは対応は難しいのではないかと考えられます。
このマルウェアは観測された時点ではすでに高度に機能が作りこまれた状態となっていました。
難読化の機構の実装量の多さやその統一性などからの推測ですが、実装には生成AIが使用されたのではないかと考えられています。
通常の開発者の開発速度は生成AIによって飛躍的に向上しています。
それと同じように、脅威アクターのマルウェア開発速度も飛躍的に向上しているとみられます。
防御と攻撃はいつもイタチごっこですが、その抜きつ抜かれつのテンポやスピードが上がってきていることを感じます。
DeepLoad Malware Pairs ClickFix Delivery with AI-Generated Evasion
https://reliaquest.com/blog/threat-spotlight-deepload-malware-pairs-clickfix-delivery-with-ai-generated-evasion/
| この記事をシェア |
|
|---|
