新たに発見されたマルウェアキャンペーンは、ClickFixの配信とAI生成の回避技術を組み合わせて、エンタープライズユーザーのアカウントとパスワードを盗用しています。
これらの攻撃は、侵入者にネットワークへの永続的で認証情報を盗む機能を持つアクセスを提供するように設計されており、削除試行後にマルウェアが自身を再起動できるようにする隠れたメカニズムを備えています。
DeepLoadマルウェアキャンペーンは、ReliaQuestのサイバーセキュリティ研究者によって詳しく報告されており、3月30日に企業にとって「即座の」脅威であると警告しています。
DeepLoadはダークウェブのマーケットプレイスで2月に初めて出現したと思われ、当初は暗号資産ウォレットの盗用に焦点を当てていました。エンタープライズ認証情報への追加的な焦点は、マルウェアのターゲティングがより広範囲になったことを示唆しています。
キャンペーンの一部として、攻撃者はClickFixを活用しており、これはユーザーを自分のマシンで悪意のあるコマンドを実行するように騙すソーシャルエンジニアリング技術です。
研究者は、攻撃が悪意のあるウェブサイトから配信されたリンクまたはファイルで始まる可能性が高いと考えています。
「このアクティビティは、侵害されたウェブサイトまたはSEOポイズニングされた検索結果を通じて開始された可能性が高いという中程度から高い自信があります。ユーザーが仕事関連の何かを調査またはダウンロードしている最中の可能性があります」とReliaQuestの研究者はInfosecurityに語りました。
AI支援コンパイル
回避技術を強化するため、DeepLoadの機能的な悪意のあるペイロードは、コード内の無意味な変数割り当ての深くに隠されており、ファイルベースのスキャンツールが識別してフラグを付けるのを困難にしています。
このオブファスケーション層の大量のコードは、その生成を支援するためのAI開発の使用を指しています。
「パディングの膨大な量は、人間の作者を除外する可能性が高いです。テンプレートベースのツールは考えられますが、観察された品質と一貫性はAIを示唆しています。そうであれば、かつて数日かかっていたものは、おそらく午後で生成できるでしょう」とReliaQuestは述べています。
AIのこの使用は、攻撃者が定期的に変数割り当てを変更し、DeepLoad配信が将来検出されるのをさらに困難にする可能性があることを示唆しています。
「組織はマルウェアの頻繁なアップデートを予想し、波の間に検出カバレッジに適応する時間が短くなると期待すべきです」と研究者は述べました。
DeepLoadはまた、Windowsロックスクリーンプロセスの内側に隠れることで通常のWindowsアクティビティに溶け込むように設計されており、セキュリティツールで定期的にスキャンされない領域で、エンドポイント侵害をより発見しにくくしています。
これはまた、DeepLoadがWindows Management Instrumentation(WMI)を悪用する隠れた永続性メカニズムを採用することを可能にし、初期ペイロードが検出され削除された場合、3日後にマシンに再感染し、パスワードとセッショントークンを盗む能力を再確立します。
研究者は、DeepLoadがUSBドライブに自身を伝播する証拠もあり、それがマルウェアを新しい被害者に転送する可能性があると指摘しています。
DeepLoadに対して防御するには、ネットワーク管理者がPowerShellスクリプトブロックロギングを有効にし、公開されたホスト上のWMIサブスクリプションを監査し、感染が発生した場合はユーザーのパスワードを変更することが推奨されます。
「DeepLoadは防御者がギャップを塞ぐにつれて適応するため、カバレッジは動作ベース、耐久性があり、高速反復用に構築する必要があります」とReliaQuestは述べています。
翻訳元: https://www.infosecurity-magazine.com/news/deepload-malware-clickfix-ai-code/
