Nova DeepLoad kampanja spaja ClickFix i AI prikrivanje malwarea
ReliaQuest je opisao novu kampanju sa malwareom DeepLoad, za koju se veruje da kombinuje ClickFix tehniku isporuke sa AI-oblikovanim prikrivanjem zlonamernog koda. Napad navodi korisnika da pokrene PowerShell komandu koja uspostavlja postojan pristup kroz scheduled task, a zatim preko legitimnog mshta.exe alata preuzima dodatni, snažno zamaskirani loader. Istraživači navode da loader sadrži ogromnu količinu besmislenog, ali ujednačeno napisanog koda, zbog čega sumnjaju da je AI korišćen da sakrije pravu funkciju malwarea i oteža statičku analizu.
Ovde opasnost nije samo u jednoj tehnici, nego u spoju dve stvari koje se međusobno pojačavaju: korisnik sam pokreće naizgled bezazlenu komandu, a zatim se zlonamerni kod sakriva u tolikoj količini šuma da ga klasične provere teže razumeju. Za firme to znači da zaštita više ne može da se oslanja samo na prepoznavanje fajla ili potpisa, već na posmatranje ponašanja sistema dok se napad odvija.
- Obučiti korisnike da ne pokreću PowerShell i Terminal komande dobijene kroz pop-up poruke ili lažna uputstva
- Uključiti PowerShell Script Block Logging i pratiti sumnjive skripte u realnom vremenu
- Nadzirati scheduled task i mshta.exe aktivnosti koje odstupaju od uobičajenog rada
- Proveravati WMI event subscription mehanizme tokom sanacije kompromitovanih računara
- Promeniti sve lozinke i tokene dostupne sa pogođene mašine ako postoji sumnja na kompromitaciju