Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Malware de carga profunda

Malware de carga profunda

Por Mezo en Software malicioso, Amenaza persistente avanzada (APT)
Traducir a:

Una nueva campaña de ataque utiliza la técnica de ingeniería social ClickFix para iniciar la infección. Las víctimas son manipuladas para ejecutar comandos maliciosos de PowerShell pegándolos en el cuadro de diálogo Ejecutar de Windows, bajo el pretexto de solucionar un problema del sistema ficticio. Este paso inicial aprovecha mshta.exe, una utilidad legítima de Windows, para obtener y ejecutar un cargador ofuscado basado en PowerShell.

Ofuscación diseñada para la evasión

El cargador de PowerShell oculta su verdadero propósito mediante asignaciones de variables excesivas y sin sentido, lo que complica considerablemente el análisis estático. La evidencia sugiere que probablemente se utilizaron herramientas de inteligencia artificial para construir esta capa de ofuscación, lo que aumenta su sofisticación. Este enfoque permite que el malware eluda los mecanismos de detección tradicionales sin comprometer su integridad operativa.

Camuflaje sigiloso mediante el sistema

DeepLoad está diseñado específicamente para integrarse sin problemas en las operaciones estándar de Windows. El malware se oculta dentro de un ejecutable llamado LockAppHost.exe, un proceso legítimo responsable de administrar la pantalla de bloqueo de Windows. Para ocultar aún más su presencia, desactiva el historial de comandos de PowerShell e invoca directamente las funciones principales de Windows en lugar de utilizar los comandos estándar de PowerShell. Esta técnica le permite evadir los sistemas de monitoreo que rastrean la actividad de PowerShell.

Técnicas sin archivos y generación dinámica de carga útil

Para minimizar la detección, DeepLoad evita dejar rastros persistentes en el disco. Genera dinámicamente un componente secundario mediante la función Add-Type de PowerShell, compilando código C# en un archivo DLL temporal almacenado en el directorio Temp del usuario. Cada ejecución produce un archivo con un nombre único, lo que permite eludir los métodos de detección basados en archivos que dependen de firmas conocidas.

Inyección avanzada para ejecución encubierta

Una estrategia clave de evasión consiste en la inyección de llamadas a procedimientos asíncronos (APC). El malware inicia un proceso legítimo de Windows en estado suspendido, inyecta código malicioso directamente en su memoria y reanuda la ejecución. Este método garantiza que la carga útil maliciosa se ejecute dentro de un proceso de confianza sin escribir una versión decodificada en el disco, lo que reduce significativamente su huella forense.

Mecanismos persistentes de robo de credenciales

DeepLoad está diseñado para extraer datos confidenciales del usuario inmediatamente después de su ejecución. Sus capacidades incluyen:

  • Obtención de contraseñas de navegador almacenadas directamente del sistema infectado.
  • Implementar una extensión de navegador maliciosa que captura credenciales en tiempo real durante los intentos de inicio de sesión y persiste entre sesiones a menos que se elimine manualmente.

Propagación lateral a través de medios removibles

El malware incorpora técnicas de propagación diseñadas para explotar dispositivos de almacenamiento extraíbles. Al detectar unidades USB o medios similares, copia archivos de acceso directo maliciosos disfrazados de instaladores legítimos. Estos archivos tienen nombres que les dan una apariencia de confianza, lo que aumenta la probabilidad de interacción del usuario y una mayor infección.

Reinfección silenciosa por abuso de WMI

DeepLoad establece persistencia mediante la Instrumentalización de administración de Windows (WMI). Crea suscripciones a eventos que desencadenan la reinfección tras un retraso de tres días, sin necesidad de interacción del usuario ni participación del atacante. Esta técnica también interrumpe los modelos de detección tradicionales al romper las relaciones esperadas entre procesos padre e hijo.

Objetivo estratégico: Cobertura total de la cadena de ataque.

El diseño general de DeepLoad indica un marco de malware multifuncional capaz de ejecutar acciones a lo largo de toda la cadena de ataque cibernético. Su estrategia operativa se centra en:

  • Evitar artefactos basados en disco para reducir las oportunidades de detección
  • Mezclar actividad maliciosa con procesos legítimos de Windows.
  • Se propaga rápidamente a través de los sistemas para expandir su presencia.

Indicadores de un marco de amenazas escalable

La infraestructura y el diseño modular de DeepLoad sugieren la posibilidad de un modelo de despliegue compartido o basado en servicios. Si bien sus características coinciden con las de las ofertas de malware como servicio (MaaS), actualmente no existen pruebas suficientes para confirmar definitivamente esta clasificación.

Tendencias

Error HTTP 401: Estafa por correo electrónico con...

Suplantación de identidad (phishing), Correo basura
Los correos electrónicos inesperados que exigen una acción inmediata son una táctica común que utilizan los ciberdelincuentes para manipular a destinatarios desprevenidos. Los mensajes que alegan problemas técnicos urgentes o problemas con la cuenta suelen intentar generar pánico para que los usuarios reaccionen sin verificar la información. Por ello, es fundamental mantenerse alerta ante...

Mas Visto

Cargando...