概要
セキュリティ研究者のReliaQuestが、新たなマルウェアローダー「DeepLoad」を発見した。このマルウェアは、ソーシャルエンジニアリング手法「ClickFix」を入口として配布され、感染したシステムに保存されたブラウザの認証情報を盗み出すことを主な目的としている。ReliaQuestは「非常に新しい」マルウェアとして警戒を呼びかけており、感染の広がりが懸念される。
攻撃の起点となるClickFixは、偽のページや通知でユーザーを騙し、Windowsの「ファイル名を指定して実行」ダイアログからPowerShellコマンドを手動で実行させる手法だ。これによりmshta.exeが起動し、難読化されたPowerShellローダーがダウンロード・実行される。
技術的な詳細
DeepLoadは、検知を回避するために複数の高度な技術を組み合わせている。ペイロードは「AIを利用した難読化」によって大量の無意味な変数代入の中に隠蔽されており、静的解析を困難にしている。さらに、自身を正規のWindowsロック画面プロセスLockAppHost.exeに偽装し、PowerShellのコマンド履歴を無効化することで活動の痕跡を消す。
プロセス注入には非同期プロシージャコール(APC)インジェクションを採用し、デコードされたペイロードをディスクに書き込まずに信頼されたプロセス内で実行する。また、PowerShellのAdd-Type機能でランダムなファイル名の一時DLLを生成するなど、セキュリティツールの監視フックを回避するネイティブWindows関数を直接呼び出す手法も用いる。
認証情報の窃取では、ブラウザに保存されたパスワードを直接抽出するほか、悪意のあるブラウザ拡張機能を投下してログイン時の認証情報をリアルタイムにインターセプトする。この拡張機能は明示的に削除しない限りセッションをまたいで持続する。
永続化と拡散
DeepLoadの特徴の一つが、WMI(Windows Management Instrumentation)を悪用した永続化メカニズムだ。初回感染から3日後、ユーザーの操作なしにシステムを再感染させる。WMIを用いることで、多くのセキュリティ製品が検知の手がかりとする親子プロセスの連鎖が断ち切られ、発見が難しくなる。
さらに、USBデバイスの接続を自動検出して感染を広げる機能も持つ。USBドライブ上にChromeSetup.lnkやFirefox Installer.lnkといった正規のインストーラーに見せかけた不正なショートカットを配置し、他のシステムへの横展開を図る。インフラ構成からはMaaS(Malware-as-a-Service)型の運営が示唆されているが、現時点では未確認とされている。