Wie bei den meisten ClickFix-Maschen beginnt die Angriffskette mit gefälschten Browser-Hinweisen, die Nutzer auffordern, einen scheinbar harmlosen Befehl auszuführen, um einen frei erfundenen „Fehler" zu beheben. In diesem Fall legt der Befehl sofort eine geplante Aufgabe an, die den Lader erneut startet – die Malware übersteht damit Neustarts oder eine teilweise Erkennung, ohne dass der Nutzer weiter zutun muss. Anschließend kommuniziert sie über die legitime Windows-Anwendung mshta.exe mit der Infrastruktur der Angreifer und lädt einen stark verschleierten PowerShell-Lader nach.

Laut der Analyse von ReliaQuest ist der funktionale Code unter Tausenden Zeilen Füllcode vergraben, der statische Scanner überfordern soll, sodass diese nichts zum Melden finden. Allein die Menge dieses Ballasts deute darauf hin, dass der Lader nicht von einem Menschen, sondern höchstwahrscheinlich von einem KI-Modell geschrieben wurde, so der Anbieter.

Die eigentliche Angriffslogik besteht aus einer kurzen Entschlüsselungsroutine, die die Schadlast vollständig im Arbeitsspeicher entpackt. Danach wird sie in LockAppHost.exe injiziert, einen legitimen Windows-Prozess für den Sperrbildschirm, den die meisten Sicherheitswerkzeuge nicht aktiv überwachen. Für die Injektion nutzt DeepLoad die PowerShell-Funktion Add-Type, um eine temporäre DLL im Temp-Verzeichnis zu erzeugen. ReliaQuest beobachtete, dass die Malware diese DLL bei jedem Durchlauf neu kompiliert und mit einem zufälligen Dateinamen versieht, damit auf bestimmte Dateinamen ausgerichtete Scanner ins Leere laufen. Zusätzlich deaktiviert sie den PowerShell-Befehlsverlauf, um ihre Spuren zu verwischen.

In der untersuchten Kampagne verbreitete sich DeepLoad innerhalb von zehn Minuten nach der Erstinfektion auch auf angeschlossene USB-Laufwerke. ReliaQuest fand mehr als 40 Dateien, die als Chrome-Setups, Firefox-Installer, AnyDesk-Verknüpfungen und andere vertraute Installationsprogramme getarnt waren. Ziel war vermutlich, die Wahrscheinlichkeit zu erhöhen, dass ein Nutzer einen der gefälschten Installer anklickt und so einen weiteren Rechner infiziert. Ob die USB-Verbreitung fest in DeepLoad eingebaut ist oder nur für diese Kampagne ergänzt wurde, ist laut ReliaQuest unklar.

Eine übliche Bereinigung – das Entfernen geplanter Aufgaben, temporärer Dateien und anderer Kompromittierungsindikatoren – reicht nach Angaben des Anbieters nicht aus. Denn DeepLoad legt einen dauerhaften Auslöser in der Windows-Verwaltungsinstrumentation (WMI) an, der den Angriff ohne weiteres Zutun automatisch erneut ausführt. Im untersuchten Vorfall startete die Malware die Angriffe volle drei Tage nach der scheinbar vollständigen Bereinigung des Rechners neu.

ReliaQuest empfiehlt betroffenen Organisationen, WMI-Ereignisabonnements auf befallenen Systemen zu prüfen und zu entfernen, bevor diese wieder in Betrieb gehen. Zudem sollten sie PowerShell Script Block Logging und verhaltensbasierte Endpunktüberwachung aktivieren, da dateibasierte Scans den Lader nicht erkennen, sowie sämtliche Zugangsdaten kompromittierter Systeme ändern – darunter gespeicherte Passwörter, aktive Sitzungstoken und während der Infektion genutzte Konten.

Die Hinweise auf KI-Generierung bedeuten laut ReliaQuest, dass sich die Verschleierung mit realistischer Wahrscheinlichkeit von generischem Rauschen hin zu einer auf die jeweilige Umgebung zugeschnittenen Füllung entwickeln könnte, was eine verhaltensbasierte Baseline-Bildung mit der Zeit erschwert. Sobald WMI-Abonnements zum Standard auf Bereinigungs-Checklisten würden, dürfte der Persistenzmechanismus auf andere, bislang weniger beachtete Windows-Funktionen ausweichen.