行业新闻与博客

新近发现的恶意软件攻击活动将 ClickFix 的推送方式与人工智能生成的规避技术相结合，以窃取企业用户帐户和密码。

这些攻击旨在为入侵者提供对网络的持久性、窃取凭证的访问权限，并配备了一种隐藏机制，使恶意软件能够在尝试删除后重新激活自身。

网络安全研究人员 ReliaQuest 详细介绍了 DeepLoad 恶意软件活动，并在 3 月 30 日警告称，该活动对企业构成“直接”威胁。

DeepLoad 似乎最早于今年二月出现在暗网市场，最初专注于窃取加密货币钱包。如今，它又将目标转向企业凭证，这表明该恶意软件的目标范围已经扩大。

作为此次攻击活动的一部分，攻击者利用了 ClickFix，这是一种社会工程技术，可以诱骗用户在自己的计算机上运行恶意命令。

研究人员认为，这些攻击很可能是从恶意网站提供的链接或文件开始的。

“我们有中等到高度的把握认为，这种活动更有可能是通过被入侵的网站或被 SEO 污染的搜索结果发起的，可能是在用户搜索或下载与工作相关的内容时发生的，”ReliaQuest 的一位研究人员告诉Infosecurity。

人工智能辅助代码编译

为了增强规避技术，DeepLoad 的功能性恶意有效载荷被隐藏在代码中毫无意义的变量赋值中，使得基于文件的扫描工具难以识别和标记。

这一层混淆代码中的大量代码表明，开发过程中使用了人工智能来辅助生成代码。

ReliaQuest 公司表示：“如此大量的填充内容很可能排除了人工创作的可能性。虽然使用模板工具也有可能，但我们观察到的质量和一致性更倾向于人工智能。如果是这样，过去可能需要几天才能完成的工作，现在可能只需一个下午就能完成。”

AI 的这种使用也表明攻击者可以定期更改变量赋值，从而使 DeepLoad 的交付在未来更难被检测到。

研究人员写道：“各组织应该预料到恶意软件会频繁更新，并且在每一波攻击之间调整检测覆盖范围的时间会越来越少。”

DeepLoad 还被设计成融入到常规的 Windows 活动中，它隐藏在 Windows 锁屏进程中，而安全工具通常不会扫描该区域，这使得终端入侵更难被发现。

这也使得 DeepLoad 能够利用一种隐藏的持久性机制来滥用 Windows 管理规范 (WMI)，即使初始有效载荷被检测到并删除，也会在三天后重新感染计算机，从而重新建立窃取密码和会话令牌的能力。

研究人员指出，还有证据表明 DeepLoad 会传播到 USB 驱动器，进而可能将恶意软件传播给新的受害者。

为了防御 DeepLoad 攻击，建议网络管理员启用 PowerShell 脚本块日志记录，审核暴露主机上的 WMI 订阅，并在发生感染时更改用户的密码。

“随着防御者缩小差距，DeepLoad 将不断调整，因此覆盖范围需要基于行为、持久耐用，并且能够快速迭代，”ReliaQuest 表示。