بدافزار DeepLoad یک تهدید سایبری پیشرفته است که با استفاده از هوش مصنوعی (AI) طراحی شده و بهطور هدفمند برای سرقت اعتبارنامهها و دور زدن ابزارهای شناسایی امنیتی مورد استفاده قرار میگیرد. این بدافزار پس از نفوذ به سیستم قربانی، از روشهای مختلفی برای استخراج رمزهای عبور ذخیرهشده در مرورگرها و ثبت کلیدهای فشردهشده در لحظه استفاده میکند. ویژگی خاص بدافزارDeepLoad در این است که با استفاده از تکنیکهای پیشرفته مبهمسازی و تزریق پردازه (process injection) از شناسایی توسط ابزارهای امنیتی جلوگیری میکند.
این بدافزار بهویژه به دلیل تولید کدهای پیچیده و غیرضروری (junk code) توسط هوش مصنوعی شهرت یافته است که برای فریب ابزارهای اسکن طراحی شدهاند.
روش توزیع بدافزار DeepLoad با تکنیک مهندسی اجتماعی
مهاجمان برای توزیع بدافزار DeepLoad از تکنیک مهندسی اجتماعی ClickFix استفاده میکنند. در این روش، کاربران با پیامهای جعلی در مرورگر مواجه میشوند که آنها را به اجرای دستوری برای رفع یک خطای ساختگی ترغیب میکند. این دستور در واقع یک تسک زمانبندیشده در سیستم ایجاد میکند که به DeepLoad اجازه میدهد حتی پس از ریبوت سیستم یا شناسایی جزئی، دوباره اجرا شود.
پس از اجرای دستور، DeepLoad از ابزار قانونی ویندوز، mshta.exe، برای برقراری ارتباط با زیرساخت مهاجم استفاده کرده و یک PowerShell loader مبهمشده را دانلود میکند. نکته اینجاست که حتی پیش از تکمیل زنجیره حمله، رباینده اعتبارنامه(credential stealer) مستقل filemanager.exe فعال شده و میتواند دادهها را به مهاجم ارسال کند، حتی اگر لودر اصلی شناسایی و مسدود شده باشد.
کدهای پیچیده و مبهمسازی در بدافزار
یکی از ویژگیهای برجسته بدافزارDeepLoad، استفاده از حجم زیادی کد غیرضروری است که در لودر آن قرار داده شده است. هدف این کدهای اضافی که بهطور عمدی تولید شدهاند، فریب ابزارهای اسکن ایستا و جلوگیری از شناسایی بدافزار توسط ابزارهای امنیتی است. تحقیقات ReliaQuest نشان میدهد که این کدهای غیرضروری احتمالاً توسط مدلهای هوش مصنوعی تولید شدهاند. در واقع، منطق اصلی حمله در DeepLoad بسیار ساده است و شامل یک روتین رمزگشایی میشود که پیلود مخرب را مستقیماً از حافظه سیستم استخراج میکند.
پس از استخراج، پیلود مخرب به پردازه LockAppHost.exe که یکی از پردازههای قانونی ویندوز است، تزریق میشود. این پردازه معمولاً توسط ابزارهای امنیتی نادیده گرفته میشود و به DeepLoad اجازه میدهد به فعالیت خود ادامه دهد.
تکنیکهای پیچیده اجرای پیلود در بدافزار DeepLoad
برای اجرای پیلود، DeepLoad از قابلیت Add-Type در PowerShell استفاده میکند تا یک Dynamic Link Library (DLL) موقت تولید کند. این DLL در دایرکتوری Temp سیستم ذخیره شده و با هر بار اجرای بدافزار، مجدداً کامپایل میشود. علاوه بر این، نام فایل DLL بهطور تصادفی تولید میشود تا ابزارهای امنیتی نتوانند آن را شناسایی کنند.
در همین فرآیند، این بدافزار تاریخچه دستورات PowerShell را نیز غیرفعال میکند تا ردپای فعالیتهای خود را مخفی نگه دارد و از شناسایی بیشتر جلوگیری کند.
انتقال بدافزار از طریق USB و گسترش آن
در یکی از کمپینهای بررسیشده، مشاهده شد که بدافزارDeepLoad ظرف کمتر از 10 دقیقه پس از آلودگی اولیه به USB Driveهای متصل نیز منتقل شده است.
در این مرحله، بدافزار بیش از 40 فایل مخرب روی حافظه USB ایجاد میکند که ظاهری شبیه نصبکنندههای رایج دارند، از جمله:
- Chrome Setup
- Firefox Installer
- AnyDesk Shortcut
این روش بهمنظور افزایش احتمال کلیک کاربران روی فایلهای مخرب طراحی شده است. با این حال، هنوز مشخص نیست که آیا انتقال بدافزار از طریق USB ویژگی ذاتی آن است یا فقط در این کمپین خاص مورد استفاده قرار گرفته است.
مکانیزم پایداری پیشرفته در DeepLoad
DeepLoad با استفاده از ابزار مدیریت ویندوز WMI، یک محرک مخفی برای اجرای مجدد حمله حتی پس از پاکسازی ظاهری سیستم ایجاد میکند. در یکی از آزمایشها، DeepLoad سه روز پس از پاکسازی سیستم مجدداً فعال شد.
راهکارهای مقابله با بدافزار DeepLoad
پژوهشگران ReliaQuest تأکید میکنند که برای مقابله با DeepLoad، روشهای معمول پاکسازی کافی نیستند. در اینجا راهکارهای امنیتی برای مقابله با این تهدید آمده است:
- بررسی و حذف اشتراکهای رویداد WMI در سیستمهای آلوده
- فعالسازی ثبت اسکریپتهای PowerShell برای شناسایی فعالیتهای مشکوک
- استفاده از مانیتورینگ عملکردی Endpoint برای شبیهسازی عملکردهای مشکوک در سیستمهای آلوده
- تغییر تمامی اعتبارنامههای مرتبط با سیستم آلوده، شامل مرزهایعبور ذخیرهشده و توکنهای نشست
نتیجهگیری
اگر استفاده از هوش مصنوعی در توسعه DeepLoad تأیید شود، احتمالاً در آینده شاهد بدافزارهایی خواهیم بود که فرآیند مبهمسازی کد را متناسب با محیط هدف تنظیم میکنند؛ موضوعی که تشخیص مبتنی بر عملکرد را دشوارتر خواهد کرد.
