Die neu entdeckte Malware DeepLoad stellt Sicherheitsverantwortliche vor erhebliche Herausforderungen. Im Gegensatz zu konventionellen Schadprogrammen beginnt DeepLoad bereits beim initialen Eindringen mit dem Diebstahl von Anmeldedaten – was bedeutet, dass selbst eine teilweise erfolgreiche Eindämmung nicht verhindert, dass Passwörter, Sitzungstoken und aktive Konten kompromittiert bleiben.
Die Angreifer setzen bei der Verbreitung auf die ClickFix-Methode, bei der Opfer gefälschte Browser-Fehlermeldungen erhalten und aufgefordert werden, ein vermeintlich harmloses Befehlsskript auszuführen. Der eigentliche Angriff beginnt damit, dass sofort eine geplante Aufgabe erstellt wird, die das Schadprogramm auch nach Neustarts oder partiellen Erkennungen erneut ausführt. Danach nutzt DeepLoad mshta.exe, ein legitimes Windows-Utility, um mit den Angreifer-Servern zu kommunizieren und einen stark verschleiert PowerShell-Loader herunterzuladen.
Was DeepLoad besonders problematisch macht, ist die Verwendung von KI-generiertem Code. ReliaQuest analysierte die Malware und stellte fest, dass der tatsächliche Schadcode unter Tausenden Zeilen Junk-Code begraben liegt – eine Technik, die offensichtlich darauf abzielt, statische Scan-Tools zu überwältigen. Die schiere Menge an Füllcode deutet darauf hin, dass das Programm nicht von Menschen geschrieben wurde, sondern von einem KI-Modell entwickelt wurde.
Der eigentliche Angriffsmechanismus ist eine kurze Entschlüsselungsroutine, die die Malware-Payload vollständig im Arbeitsspeicher entpackt. Anschließend wird der Code in LockAppHost.exe injiziert – einen legitimen Windows-Prozess für die Bildschirmsperre, den die meisten Sicherheitstools nicht aktiv überwachen.
Die Komponente filemanager.exe agiert als eigenständiger Credential-Stealer und läuft auf der eigenen Infrastruktur der Angreifer. Eine malware Browser-Erweiterung ergänzt dies, indem sie Anmeldedaten in Echtzeit während der Eingabe abfängt und über Browser-Sitzungen hinweg persistiert.
Besonders besorgniserregend ist die Persistenzmechanismus durch Windows Management Instrumentation (WMI). Selbst nachdem ein System vollständig bereinigt wurde – alle geplanten Aufgaben, temporären Dateien und Indikatoren entfernt waren – führte die WMI-Subscription die Malware drei Tage später erneut aus.
ReliaQuest beobachtete auch, dass DeepLoad innerhalb von zehn Minuten auf angeschlossene USB-Laufwerke propagiert. Die Malware schreibt über 40 Dateien, die als Chrome-Setup, Firefox-Installer oder AnyDesk-Shortcuts getarnt sind, um weitere Systeme zu infizieren.
Für die Remediation empfiehlt ReliaQuest, WMI-Event-Subscriptions auf befallenen Hosts zu prüfen und zu entfernen, PowerShell Script Block Logging zu aktivieren sowie alle Anmeldedaten zu wechseln, die während der Infektionszeit in Verwendung waren. Die Warnung der Experten ist eindeutig: Mit der fortschreitenden KI-Entwicklung werden Verschleierungstechniken zunehmend intelligenter und umgebungsspezifisch optimiert – was die Detektion weiter erschweren wird.