Die von ReliaQuest-Forschern Thassanai McCabe und Andrew Currie dokumentierte DeepLoad-Kampagne nutzt eine bewährte Social-Engineering-Methode als Einfallstor: ClickFix. Dabei werden Nutzer dazu verleitet, PowerShell-Befehle in den Windows-Ausführendialog einzugeben, um angeblich ein nicht-existentes Problem zu beheben. Das Resultat ist die Aktivierung von “mshta.exe”, einem legitimen Windows-Utility, das daraufhin einen verschleierte PowerShell-Loader herunterlädt und ausführt.
Die technische Sophistikation von DeepLoad liegt in ihrer Fähigkeit, sich als reguläre Windows-Aktivität auszugeben. Die Malware versteckt ihre Nutzlast in einer ausführbaren Datei mit dem Namen “LockAppHost.exe” – dem Namen eines echten Windows-Prozesses, der den Sperrbildschirm verwaltet. Die Verschleierungstechniken deuten darauf hin, dass Cyberkriminelle KI-Tools zur Entwicklung dieser Verbergungs-Layer verwendeten. Dies ist ein Beleg dafür, dass moderne Malware-Entwicklung zunehmend von künstlicher Intelligenz profitiert.
Eine besonders clevere Defensiv-Evasions-Taktik ist die Verwendung der PowerShell-Funktion “Add-Type”, die dynamisch C#-Code kompiliert und als temporäre DLL-Datei in das Windows-Temp-Verzeichnis speichert. Da die Datei bei jeder Ausführung mit zufälligen Namen neu kompiliert wird, umgeht DeepLoad dateibasierte Erkennungsmechanismen.
Das Kernziel der Malware ist die Extraktion von Browser-Passwörtern und Session-Daten. Sie installiert zusätzlich eine bösartige Browser-Erweiterung, die Anmeldedaten beim Eintippen auf Login-Seiten abfängt und über Benutzer-Sitzungen hinweg persistent bleibt.
Eine besonders gefährliche Funktion ist die automatische Erkennung von angeschlossenen USB-Laufwerken. DeepLoad kopiert infizierte Dateien mit täuschenden Namen wie “ChromeSetup.lnk”, “Firefox Installer.lnk” oder “AnyDesk.lnk” auf diese Medien – mit dem Ziel, die Infektion zu verbreiten, wenn diese Dateien angeklickt werden.
Das Persistenz-Mechanismus basiert auf Windows Management Instrumentation (WMI). Nach Angaben von ReliaQuest gelang es DeepLoad, infizierte Systeme drei Tage nach der Erstinfektion ohne Benutzerinteraktion automatisch zu reinfizieren. WMI dient dabei zwei Zwecken: Es zerstört die Eltern-Kind-Prozess-Ketten, auf die sich viele Erkennungsregeln verlassen, und erzeugt WMI-Event-Subscriptions für stille Neu-Ausführungen des Angriffs.
Parallel zu DeepLoad wurde der “Kiss Loader” dokumentiert, eine weitere Malware, die sich über Windows-Internet-Shortcut-Dateien in Phishing-E-Mails verbreitet und letztlich zum Venom RAT, einer AsyncRAT-Variante, führt. Diese Entwicklungen unterstreichen die wachsende Komplexität moderner Malware-Kampagnen und die Notwendigkeit mehrschichtiger Sicherheitsstrategien.