DeepLoad bemüht sich gezielt darum, im normalen Windows-Betrieb unterzugehen. Dazu versteckt der Schadcode seine Nutzlast in einer ausführbaren Datei namens “LockAppHost.exe” — eigentlich ein legitimer Windows-Prozess, der den Sperrbildschirm verwaltet. Zusätzlich verwischt die Malware ihre Spuren, indem sie die PowerShell-Befehlshistorie deaktiviert und native Windows-Kernfunktionen direkt aufruft, statt die eingebauten PowerShell-Befehle zum Starten von Prozessen und zum Verändern des Speichers zu nutzen. So umgeht sie laut ReliaQuest gängige Überwachungsmechanismen, die PowerShell-Aktivitäten beobachten.

Um dateibasierter Erkennung zu entgehen, erzeugt DeepLoad eine zweite Komponente zur Laufzeit über die PowerShell-Funktion Add-Type, die in C# geschriebenen Code kompiliert und ausführt. Dabei entsteht eine temporäre DLL-Datei, die im Temp-Verzeichnis des Nutzers abgelegt wird. Da die DLL bei jeder Ausführung neu kompiliert und unter einem zufälligen Dateinamen geschrieben wird, laufen Erkennungsregeln auf Basis von Dateinamen ins Leere.

Ein weiteres Tarnmittel ist die sogenannte APC-Injection (Asynchronous Procedure Call): Der Schadcode startet einen vertrauenswürdigen Windows-Prozess in angehaltenem Zustand, schreibt Shellcode in dessen Speicher und setzt die Ausführung anschließend fort. Die Hauptnutzlast läuft so in einem vertrauenswürdigen Prozess, ohne dass eine entschlüsselte Nutzlast auf die Festplatte geschrieben wird.

Zum Diebstahl von Zugangsdaten extrahiert DeepLoad gespeicherte Browser-Passwörter vom befallenen System. Zusätzlich installiert die Malware eine bösartige Browser-Erweiterung, die Zugangsdaten direkt bei der Eingabe auf Login-Seiten abfängt und über Sitzungen hinweg bestehen bleibt, solange sie nicht ausdrücklich entfernt wird. Erkennt DeepLoad angeschlossene Wechseldatenträger wie USB-Sticks, kopiert es seine verseuchten Dateien automatisch dorthin — unter Namen wie “ChromeSetup.lnk”, “Firefox Installer.lnk” und “AnyDesk.lnk”, um per Doppelklick eine neue Infektion auszulösen.

Besonders hervor hebt ReliaQuest die Persistenz über Windows Management Instrumentation (WMI): In einem Fall infizierte DeepLoad einen zuvor bereinigten Rechner drei Tage später erneut — ohne Zutun des Nutzers und ohne Interaktion der Angreifer. WMI erfüllte dabei zwei Zwecke: Es durchbrach die Eltern-Kind-Prozessketten, auf die die meisten Erkennungsregeln ausgelegt sind, und richtete ein WMI-Event-Abonnement ein, das den Angriff später unbemerkt erneut ausführte. Ziel ist nach Einschätzung der Forscher eine Mehrzweck-Malware, die entlang der gesamten Angriffskette wirkt, das Schreiben von Artefakten auf die Festplatte vermeidet und sich schnell auf weitere Rechner ausbreitet.

Parallel dazu beschreibt G DATA einen weiteren Loader namens Kiss Loader, der über Windows-Internetverknüpfungen (URL-Dateien) in Phishing-Mails verteilt wird. Diese verbinden sich mit einer WebDAV-Ressource auf einer TryCloudflare-Domain, die eine zweite Verknüpfung als vorgebliches PDF-Dokument nachlädt. Nach der Ausführung startet ein WSH-Skript eine JavaScript-Komponente, die ein Batch-Skript nachlädt; dieses zeigt ein Täusch-PDF an, verankert sich im Autostart-Ordner und lädt den Python-basierten Kiss Loader herunter, der schließlich per APC-Injection den Venom RAT — eine AsyncRAT-Variante — entschlüsselt und ausführt. Wie weit verbreitet die Angriffe sind und ob der Loader als Malware-as-a-Service angeboten wird, ist unklar; der dahinterstehende Akteur gibt an, aus Malawi zu stammen.