行業新聞與部落格

新近發現的惡意軟體攻擊活動將 ClickFix 的推送方式與人工智慧生成的規避技術相結合，以竊取企業使用者帳戶和密碼。

這些攻擊旨在為入侵者提供對網路的永續性、竊取憑證的訪問許可權，並配備了一種隱藏機制，使惡意軟體能夠在嘗試刪除後重新啟用自身。

網路安全研究人員 ReliaQuest 詳細介紹了 DeepLoad 惡意軟體活動，並在 3 月 30 日警告稱，該活動對企業構成“直接”威脅。

DeepLoad 似乎最早於今年二月出現在暗網市場，最初專注於竊取加密貨幣錢包。如今，它又將目標轉向企業憑證，這表明該惡意軟體的目標範圍已經擴大。

作為此次攻擊活動的一部分，攻擊者利用了 ClickFix，這是一種社會工程技術，可以誘騙使用者在自己的計算機上執行惡意命令。

研究人員認為，這些攻擊很可能是從惡意網站提供的連結或檔案開始的。

“我們有中等到高度的把握認為，這種活動更有可能是透過被入侵的網站或被 SEO 汙染的搜尋結果發起的，可能是在使用者搜尋或下載與工作相關的內容時發生的，”ReliaQuest 的一位研究人員告訴Infosecurity。

人工智慧輔助程式碼編譯

為了增強規避技術，DeepLoad 的功能性惡意有效載荷被隱藏在程式碼中毫無意義的變數賦值中，使得基於檔案的掃描工具難以識別和標記。

這一層混淆程式碼中的大量程式碼表明，開發過程中使用了人工智慧來輔助生成程式碼。

ReliaQuest 公司表示：“如此大量的填充內容很可能排除了人工創作的可能性。雖然使用模板工具也有可能，但我們觀察到的質量和一致性更傾向於人工智慧。如果是這樣，過去可能需要幾天才能完成的工作，現在可能只需一個下午就能完成。”

AI 的這種使用也表明攻擊者可以定期更改變數賦值，從而使 DeepLoad 的交付在未來更難被檢測到。

研究人員寫道：“各組織應該預料到惡意軟體會頻繁更新，並且在每一波攻擊之間調整檢測覆蓋範圍的時間會越來越少。”

DeepLoad 還被設計成融入到常規的 Windows 活動中，它隱藏在 Windows 鎖屏程序中，而安全工具通常不會掃描該區域，這使得終端入侵更難被發現。

這也使得 DeepLoad 能夠利用一種隱藏的永續性機制來濫用 Windows 管理規範 (WMI)，即使初始有效載荷被檢測到並刪除，也會在三天後重新感染計算機，從而重新建立竊取密碼和會話令牌的能力。

研究人員指出，還有證據表明 DeepLoad 會傳播到 USB 驅動器，進而可能將惡意軟體傳播給新的受害者。

為了防禦 DeepLoad 攻擊，建議網路管理員啟用 PowerShell 指令碼塊日誌記錄，稽核暴露主機上的 WMI 訂閱，並在發生感染時更改使用者的密碼。

“隨著防禦者縮小差距，DeepLoad 將不斷調整，因此覆蓋範圍需要基於行為、持久耐用，並且能夠快速迭代，”ReliaQuest 表示。