A campanha induz usuários do Windows a iniciar uma cadeia com PowerShell, oculta componentes em processos legítimos, mantém persistência por WMI e tenta capturar senhas e sessões de navegador.
| Componente | DeepLoad, carregador de malware para Windows com roubo de credenciais de navegador, extensão maliciosa e propagação por mídia removível. |
| Vetor | Isca ClickFix convence o usuário a colar e executar comando via caixa Executar do Windows, iniciando comando operacional omitido e um carregador PowerShell ofuscado. |
| Impacto | Extração de senhas de navegador, interceptação de credenciais digitadas em páginas de login, persistência entre sessões e reinfecção por assinatura de evento WMI. |
| Prioridade | Bloquear cadeias ClickFix, revisar execução de comando operacional omitido e PowerShell, auditar assinaturas WMI persistentes, remover extensões suspeitas e investigar mídia USB contaminada. |
| Artefatos | Uso de LockAppHost.exe como disfarce, DLL temporária compilada por Add-Type, nomes de atalho como ChromeSetup.lnk, Firefox Installer.lnk e AnyDesk.lnk em dispositivos removíveis. |
| Técnicas | Ofuscação possivelmente assistida por IA, limpeza de histórico de PowerShell, chamadas nativas do Windows, injeção APC e persistência por Windows Management Instrumentation. |
DeepLoad é um carregador de malware observado em uma campanha que combina engenharia social ClickFix com técnicas nativas do Windows para reduzir a visibilidade em controles baseados em arquivo, linhagem de processos e inspeção comum de PowerShell. A cadeia começa com uma falsa correção de problema, na qual a vítima é induzida a colar uma instrução na caixa Executar do Windows. Essa ação aciona comando operacional omitido, utilitário legítimo do sistema, para buscar e iniciar um carregador PowerShell ofuscado. O ponto central da atividade não é uma exploração automática remota, mas a conversão de confiança do usuário em execução local de código.
O carregador tenta confundir análise estática ao esconder sua lógica entre atribuições de variáveis sem valor operacional e ao gerar parte do componente em tempo de execução. A análise disponível avalia que a camada de ofuscação provavelmente recebeu auxílio de ferramenta de inteligência artificial, mas essa avaliação não transforma o caso em ataque contra sistemas de IA. O objetivo técnico descrito é manter execução em ambiente Windows, implantar o payload principal com baixa exposição em disco e iniciar roubo de credenciais de navegador rapidamente, inclusive com captura de senhas e sessões mesmo quando parte da cadeia principal é interrompida.
Após a interação inicial ClickFix, comando operacional omitido baixa e executa um carregador PowerShell. O script reduz rastros ao desabilitar o histórico de comandos do PowerShell e evita depender apenas de cmdlets monitorados por muitas regras defensivas. Em vez disso, invoca funções nativas do Windows para iniciar processos e alterar memória, escolha que dificulta detecções centradas apenas em telemetria de comandos PowerShell. Esse desenho quebra a expectativa de que toda atividade maliciosa apareça como uma sequência explícita e facilmente correlacionável de comandos de alto nível.
DeepLoad também gera um componente secundário durante a execução por meio de Add-Type, recurso do PowerShell que permite compilar e executar código C#. O resultado é uma DLL temporária gravada no diretório Temp do usuário com nome randomizado a cada execução. Esse comportamento enfraquece regras que dependem de nomes de arquivo fixos, hashes estáticos ou caminhos previsíveis. A presença de DLL temporária compilada dinamicamente, associada a uma cadeia que envolve comando operacional omitido e PowerShell, deve ser tratada como sinal de alto valor para investigação.
A etapa de execução do payload usa injeção APC. O malware inicia um processo confiável em estado suspenso, escreve shellcode em sua memória e retoma a execução para fazer o código principal rodar dentro de um processo aparentemente legítimo. A campanha também usa o nome LockAppHost.exe, semelhante a um processo legítimo relacionado à tela de bloqueio do Windows, para se misturar à atividade comum do sistema. O impacto confirmado no contexto é roubo de credenciais de navegador e persistência; não há base suficiente para afirmar movimentação lateral, ransomware ou exploração de vulnerabilidade sem interação do usuário.
A superfície principal envolve estáções Windows nas quais usuários têm permissão para iniciar a caixa Executar, acionar comando operacional omitido, executar PowerShell e carregar componentes temporários no perfil do usuário. Ambientes que não restringem utilitários de script do Windows, que não monitoram criação de DLLs temporárias e que permitem extensões de navegador sem governança ficam mais expostos. O risco é maior quando o usuário trabalha com senhas salvas no navegador ou autentica em aplicações sensíveis durante a janela em que a extensão maliciosa está ativa.
DeepLoad adiciona uma extensão maliciosa ao navegador para interceptar credenciais enquanto são digitadas em páginas de login e permanecer entre sessões até remoção explícita. Além do roubo direto de senhas armazenadas, essa abordagem amplia a coleta para credenciais novas ou atualizadas. A campanha também monitora a conexão de mídias removíveis, como unidades USB, e copia arquivos contaminados com nomes que simulam instaladores ou ferramentas conhecidas. A execução depende de novo clique do usuário no atalho, mas cria caminho de propagação dentro de ambientes onde dispositivos removíveis circulam entre máquinas.
- Estáções Windows com execução permitida de comando operacional omitido e PowerShell a partir de interação do usuário.
- Perfis de usuário com navegadores que armazenam senhas, sessões ou permitem extensões não aprovadas.
- Diretórios temporários usados para DLLs compiladas dinamicamente por
Add-Type. - Dispositivos USB ou outras mídias removíveis que recebem atalhos maliciosos com nomes de instaladores conhecidos.
- Hosts com assinaturas WMI persistentes capazes de reexecutar a cadeia dias depois sem nova ação visível do operador.
A investigação deve priorizar a sequência de eventos, não apenas artefatos isolados. Um sinal importante é a combinação de execução de comando operacional omitido, PowerShell ofuscado, compilação C# por Add-Type, criação de DLL em Temp e injeção em processo confiável. Como DeepLoad tenta romper cadeias pai-filho comuns com WMI, a ausência de uma linhagem simples entre o clique inicial e a reinfecção posterior não deve encerrar a análise. Assinaturas de evento WMI recém-criadas ou incomuns, especialmente as que reexecutam lógica após intervalo de dias, precisam ser revisadas com prioridade.
No endpoint, procure alterações em extensões de navegador, criação de atalhos em mídia removível, nomes como ChromeSetup.lnk, Firefox Installer.lnk e AnyDesk.lnk, além de processos com nomes semelhantes a componentes legítimos do Windows fora dos caminhos esperados. A telemetria de memória é relevante porque a técnica APC evita deixar o payload decodificado em disco após a criação do processo suspenso. Em controles de identidade, eventos de autenticação incomuns após interação com iscas ClickFix podem indicar uso posterior das credenciais capturadas, embora o contexto não confirme abuso de contas em fase posterior.
- Execução de comando operacional omitido seguida de PowerShell ofuscado a partir de ação interativa do usuário.
- Uso de
Add-Typepara compilar C# e gerar DLL temporária com nome aleatório no perfil do usuário. - Criação ou alteração de extensões de navegador fora de processos normais de instalação corporativa.
- Assinaturas de evento WMI novas, incomuns ou associadas a reexecução tardia da cadeia.
- Arquivos
.lnksuspeitos em mídias removíveis com nomes de instaladores ou ferramentas populares. - Processos iniciados suspensos e retomados após escrita de memória, padrão compatível com injeção APC.
A resposta deve começar pela contenção de hosts com sinais da cadeia ClickFix e pela remoção de persistência. Desconecte ou isole sistemas afetados conforme o procedimento interno, preserve evidências de endpoint, revise assinaturas WMI e remova extensões de navegador não autorizadas. Como o malware visa credenciais e sessões, a recuperação precisa incluir invalidação de sessões de aplicações críticas, troca de senhas expostas e revisão de autenticações recentes relacionadas ao usuário comprometido. A limpeza de arquivos visíveis sem auditoria de WMI e navegador deixa caminho aberto para reinfecção.
Na prevenção, restrinja ou monitore comando operacional omitido, PowerShell com origem em interação do usuário e execução de scripts que geram componentes temporários. Aplique controle de aplicações, políticas de extensão de navegador, bloqueio de mídias removíveis não autorizadas e alertas para criação de atalhos suspeitos em USB. Treinamento contra ClickFix deve enfatizar que correções legítimas não exigem colar comandos na caixa Executar do Windows. Como a campanha usa ferramentas legítimas do sistema, a mitigação mais efetiva combina redução de superfície, telemetria comportamental e resposta de identidade.
- Auditar e remover assinaturas WMI persistentes que reexecutam comandos ou scripts sem justificativa administrativa.
- Inventariar extensões de navegador instaladas nos perfis afetados e remover extensões não aprovadas.
- Invalidar sessões e redefinir credenciais de usuários expostos a roubo de senha no navegador.
- Bloquear ou alertar execução anômala de comando operacional omitido, PowerShell ofuscado e compilação por
Add-Type. - Inspecionar mídias removíveis usadas pelos hosts afetados e remover atalhos maliciosos antes de reconectá-las à rede.
- Aplicar políticas corporativas para extensões, controle de aplicações e restrição de dispositivos USB quando operacionalmente viável.
A mesma janela de divulgação técnica também descreve Kiss Loader, outro carregador distribuído por anexos de phishing em formato Windows Internet Shortcut. Essa cadeia usa arquivos .url, recurso remoto WebDAV hospedado em domínio TryCloudflare, um segundo atalho disfarçado de PDF, script WSH, componente JavaScript, script em lote com documento chamariz, persistência na pasta Startup e posterior download de um carregador em Python. No estágio final descrito, o loader descriptografa e executa Venom RAT, variante de AsyncRAT, também com injeção APC.
A relação operacional entre DeepLoad e Kiss Loader não está estabelecida no material analisado. O ponto defensivo comum é a dependência de engenharia social, atalhos do Windows, execução por componentes nativos e injeção em processos para dificultar detecção por arquivo. A abrangência dos ataques com Kiss Loader não foi determinada, e a hipótese de oferta como malware como serviço permanece sem confirmação. Portanto, a cobertura deve tratar os dois casos como exemplos de pressão crescente sobre controles de endpoint baseados apenas em assinatura, sem inferir um único ator, infraestrutura compartilhada ou campanha unificada.
0 Comentários