Die Malware-Familie DeepLoad ist nach Darstellung von ReliaQuest in einer ersten realen Kampagne aufgetaucht, die gezielt Windows-Systeme angreift. Als Infektionsweg dient die ClickFix-Methode: Opfer erhalten gefälschte Browser-Fehlermeldungen, die sie anweisen, einen Befehl in das Ausführen-Fenster von Windows oder in ein Terminal zu kopieren. Dieser Befehl startet einen PowerShell-Loader, der sich dauerhaft im System einnistet und DeepLoad nachlädt.

Erstmals öffentlich beschrieben wurde die Schadsoftware bereits zuvor von ZeroFox. Das Unternehmen entdeckte DeepLoad Anfang Februar in einem Cybercrime-Forum im Darknet, wo es als zentrale Steuerkonsole für mehrere Malware-Typen beworben wurde. Demnach kann das Werkzeug Kryptowallet-Anwendungen und Browser-Erweiterungen durch gefälschte Varianten ersetzen, Zugangsdaten der Opfer abgreifen und eine betrügerische Browser-Erweiterung installieren. ZeroFox betonte, das Design sei eindeutig auf den Diebstahl von Kryptowährungen in Echtzeit ausgerichtet, was DeepLoad für das Cybercrime-as-a-Service-Umfeld attraktiv mache.

Besondere Aufmerksamkeit widmet ReliaQuest den Tarnmechanismen der Malware. Die nachgeladene Komponente wird als DLL erzeugt und im Temp-Verzeichnis abgelegt. Da sie bei jeder Ausführung neu kompiliert und unter einem anderen Dateinamen gespeichert wird, entzieht sie sich der Erkennung.

Der Loader verwischt zudem seine Spuren: Er deaktiviert den Befehlsverlauf von PowerShell und ruft Windows-Kernfunktionen direkt auf, statt die eingebauten PowerShell-Befehle zu nutzen. Damit umgeht er laut ReliaQuest die gängigsten Überwachungspunkte. Um sich in vertrauenswürdige Windows-Aktivität einzufügen, wird DeepLoad per Asynchronous-Procedure-Call-Injektion in den legitimen Prozess der Sperrbildschirmverwaltung LockAppHost.exe eingeschleust. Dieser Prozess wird von Sicherheitswerkzeugen üblicherweise nicht überwacht, und der Schadcode läuft im Arbeitsspeicher, ohne dass eine entschlüsselte Nutzlast auf die Festplatte geschrieben wird.

Der Diebstahl von Zugangsdaten beginnt von Anfang an: Ein eigenständiger Credential-Stealer läuft neben dem Haupt-Loader, und die Exfiltration der Daten ist von der Kommunikation des Loaders mit dem Command-and-Control-Server getrennt. Zusätzlich installiert die Malware eine bösartige Browser-Erweiterung, die laut ReliaQuest sämtliche Nutzeraktivitäten abfängt – von aktiven Anmeldungen und geöffneten Tabs bis hin zu Sitzungs-Token und gespeicherten Passwörtern.

ReliaQuest beobachtete außerdem eine Verbreitung über USB-Laufwerke. Ob diese Funktion in DeepLoad selbst eingebaut ist oder von den Betreibern nachgelagert wurde, konnten die Forscher nicht abschließend klären.