Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

DeepLoad Malware Uses ClickFix and WMI Persistence to Steal Browser Credentials

1 minute de lecture

Mis à jour :

DeepLoad : Une menace furtive utilisant l’ingénierie sociale et la persistance WMI

Le malware DeepLoad utilise la technique d’ingénierie sociale « ClickFix » pour inciter les utilisateurs à exécuter des commandes PowerShell malveillantes via la boîte de dialogue « Exécuter » de Windows. Ce loader, suspecté d’être développé avec l’aide de l’IA pour optimiser son obfuscation, se spécialise dans le vol d’identifiants de navigateur et l’auto-propagation.

Points clés :

  • Vecteur d’attaque : Utilisation de mshta.exe pour télécharger un loader PowerShell masqué parmi des assignations de variables inutiles.
  • Furtivité avancée : Le malware injecte du code dans des processus légitimes (ex: LockAppHost.exe), utilise l’injection APC (Asynchronous Procedure Call) et compile des DLL à la volée pour éviter toute détection basée sur les signatures de fichiers.
  • Persistance WMI : Le logiciel malveillant utilise les abonnements aux événements WMI (Windows Management Instrumentation) pour se réexécuter automatiquement après une période de dormance, contournant ainsi les règles de détection classiques basées sur les chaînes de processus parent-enfant.
  • Propagation : Détection automatique des supports amovibles (USB) pour s’y copier sous forme de raccourcis déguisés en installeurs logiciels légitimes (Chrome, Firefox, AnyDesk).

Vulnérabilités : L’attaque repose sur l’abus de fonctionnalités natives de Windows :

  • MITRE ATT&CK T1055.004 : Injection APC.
  • Abus WMI : Utilisation détournée des services d’administration Windows pour maintenir la persistance sans écriture de fichiers persistants sur le disque.
  • Note : Aucune CVE spécifique n’est mentionnée, le malware exploitant la confiance accordée aux outils système légitimes.

Recommandations :

  • Sensibilisation : Former les utilisateurs aux risques des tactiques « ClickFix » demandant de copier/coller des commandes dans la console Windows.
  • Surveillance WMI : Auditer et surveiller les abonnements aux événements WMI pour détecter toute activité suspecte ou persistante.
  • Restriction des privilèges : Limiter l’exécution de PowerShell et restreindre l’utilisation de mshta.exe via des politiques de contrôle d’application (AppLocker ou Windows Defender Application Control).
  • Protection des endpoints : Utiliser des solutions EDR capables d’analyser les comportements en mémoire (injection de code, appels API suspects) plutôt que de simples détections basées sur les fichiers.

Source

Vous pourriez aimer