行業新聞與博客

新近發現的惡意軟件攻擊活動將 ClickFix 的推送方式與人工智能生成的規避技術相結合，以竊取企業用户帳户和密碼。

這些攻擊旨在為入侵者提供對網絡的持久性、竊取憑證的訪問權限，並配備了一種隱藏機制，使惡意軟件能夠在嘗試刪除後重新激活自身。

網絡安全研究人員 ReliaQuest 詳細介紹了 DeepLoad 惡意軟件活動，並在 3 月 30 日警告稱，該活動對企業構成“直接”威脅。

DeepLoad 似乎最早於今年二月出現在暗網市場，最初專注於竊取加密貨幣錢包。如今，它又將目標轉向企業憑證，這表明該惡意軟件的目標範圍已經擴大。

作為此次攻擊活動的一部分，攻擊者利用了 ClickFix，這是一種社會工程技術，可以誘騙用户在自己的計算機上運行惡意命令。

研究人員認為，這些攻擊很可能是從惡意網站提供的鏈接或文件開始的。

“我們有中等到高度的把握認為，這種活動更有可能是通過被入侵的網站或被 SEO 污染的搜索結果發起的，可能是在用户搜索或下載與工作相關的內容時發生的，”ReliaQuest 的一位研究人員告訴Infosecurity。

人工智能輔助代碼編譯

為了增強規避技術，DeepLoad 的功能性惡意有效載荷被隱藏在代碼中毫無意義的變量賦值中，使得基於文件的掃描工具難以識別和標記。

這一層混淆代碼中的大量代碼表明，開發過程中使用了人工智能來輔助生成代碼。

ReliaQuest 公司表示：“如此大量的填充內容很可能排除了人工創作的可能性。雖然使用模板工具也有可能，但我們觀察到的質量和一致性更傾向於人工智能。如果是這樣，過去可能需要幾天才能完成的工作，現在可能只需一個下午就能完成。”

AI 的這種使用也表明攻擊者可以定期更改變量賦值，從而使 DeepLoad 的交付在未來更難被檢測到。

研究人員寫道：“各組織應該預料到惡意軟件會頻繁更新，並且在每一波攻擊之間調整檢測覆蓋範圍的時間會越來越少。”

DeepLoad 還被設計成融入到常規的 Windows 活動中，它隱藏在 Windows 鎖屏進程中，而安全工具通常不會掃描該區域，這使得終端入侵更難被發現。

這也使得 DeepLoad 能夠利用一種隱藏的持久性機制來濫用 Windows 管理規範 (WMI)，即使初始有效載荷被檢測到並刪除，也會在三天後重新感染計算機，從而重新建立竊取密碼和會話令牌的能力。

研究人員指出，還有證據表明 DeepLoad 會傳播到 USB 驅動器，進而可能將惡意軟件傳播給新的受害者。

為了防禦 DeepLoad 攻擊，建議網絡管理員啓用 PowerShell 腳本塊日誌記錄，審核暴露主機上的 WMI 訂閲，並在發生感染時更改用户的密碼。

“隨着防禦者縮小差距，DeepLoad 將不斷調整，因此覆蓋範圍需要基於行為、持久耐用，並且能夠快速迭代，”ReliaQuest 表示。