Tento nový trik hackerov ťa prinúti infikovať si vlastný počítač. DeepLoad sa potom ukryje hlboko v systéme a neodíde
DeepLoad je nový malvér, ktorý sa šíri cez falošné chybové hlásenia a jediný príkaz. Získa prístup k účtom, prežije reštart aj „vyčistenie“ systému a dokáže sa potichu vrátiť späť.
Nový malvér s názvom DeepLoad ukázal, ako rýchlo sa dnes útok dostal z jedného kliknutia až k plnej kontrole nad zariadením. Bez potreby ďalšej interakcie si útočník otvoril dvere, získal prístup k účtom a zároveň si pripravil návrat aj po „vyčistení“ systému. Informujú o tom bezpečnostní analytici z Relia Quest.
Celý problém začal jednoduchým vyskakovacím oknom. Útočníci použili techniku ClickFix, ktorá ťa presvedčila, aby si sám spustil škodlivý príkaz. Zvyčajne môžeš vidieť falošné chybové hlásenie v prehliadači a jednoduchý návod, ako ho „opraviť“. Stačí skopírovať príkaz, stlačiť Win+R, vložiť ho a potvrdiť.
Príkaz pritom nebol náhodný. Využil legitímny nástroj Windowsu mshta.exe, ktorý slúži na spúšťanie skriptov. V tomto prípade si cez neho malvér potichu stiahol ďalší škodlivý kód a celý útok sa rozbehol bez toho, aby si si to všimol.
Tu sa ukazuje, že útočníci pracujú aj s psychológiou. Stránka ponúkla tlačidlo typu „Copy fix“. Ty si klikol, vložil obsah a potvrdil. Príkaz bol taký dlhý, že sa nezmestil do jedného riadku, takže si reálne nevidel, čo spúšťaš. Keby si ho musel prepísať ručne, pravdepodobne by si si všimol podozrivú adresu alebo zvláštne znaky.
„Stačil jeden príkaz a útočník získal trvalý prístup, ktorý prežil aj reštart zariadenia,“ hovoria bezpečnostní analytici.
Malvér sa zahrabe do tvojho počítača a už ho nedostaneš von
Po spustení sa malvér postaral o to, aby mohol v systéme ostať čo najdlhšie. Vytvoril naplánovanú úlohu, ktorá ho opakovane spúšťala. Následne si stiahol ďalší kód cez legitímne nástroje Windowsu, čím sa skryl pred bežnou ochranou. DeepLoad nepracoval ako klasický vírus so súbormi, veľká časť jeho aktivity prebiehala priamo v pamäti.
Neprehliadni
Zaujímavým detailom útoku je, že veľká časť kódu neobsahovala nič užitočné. Tvorili ju tisíce nezmyselných premenných. Tento „šum“ zahltil bezpečnostné nástroje aj analytikov. Skutočný škodlivý kód sa skrýval na konci a spustil sa až v pamäti zariadenia.
Tu prichádza detail, ktorý mení pravidlá hry. Výskumníci sa domnievajú, že tento balastný kód mohol byť vytvorený pomocou AI. Tá dokáže generovať tisíce riadkov nezmyslov, ktoré majú jediný cieľ, zmiasť detekciu a predĺžiť čas, kým sa niekto dostane k jadru útoku.
Útočníci pritom pridali aj túto fintu pre prípad, že by sa na kód pozrel človek. Premenné niesli názvy ako windowsupdate.microsoft.com. Na prvý pohľad to vyzeralo ako legitímna súčasť systému.
„Skript pôsobil zložito, ale väčšina z neho predstavovala len výplň, ktorá mala zmiasť detekciu,“ hovoria experti.
DeepLoad sa potom ukryl na mieste, ktoré väčšina bezpečnostných nástrojov ignorovala, v procese zamknutej obrazovky Windowsu (LockAppHost.exe). Tento proces bežne nekomunikoval so sieťou, takže ak sa niečo dialo, málokto si to všimol.
Aby sa tam dostal, využil techniku injekcie kódu (tzv. APC injection). Spustil proces v pozastavenom stave, vložil doň vlastný kód a následne ho aktivoval, vo výsledku pôsobil ako legitímna aktivita systému.
Malvér si navyše upratal po sebe. Vypol históriu PowerShell príkazov, takže späťne si nevieš pozrieť, čo sa vlastne spustilo. Zároveň obchádzal klasické monitorovanie tým, že využíval priamo systémové funkcie Windowsu namiesto štandardných príkazov.
DeepLoad zašiel ešte ďalej. Kód si dokázal vytvárať „za behu“ pomocou funkcie Add-Type, ktorá umožňuje spúšťať C# kód priamo cez PowerShell. V praxi to znamená, že si vytvoril vlastnú knižnicu (DLL), vždy s iným názvom. Pre antivírus je to ako naháňať cieľ, ktorý sa neustále mení.
Medzitým už prebiehalo kradnutie údajov. DeepLoad nečakal, zachytával heslá priamo pri písaní, čítal uložené prihlasovacie údaje a sledoval tvoju aktivitu v prehliadači.
DeepLoad mal ešte jednu poistku, vďaka ktorej bol zákernejší
Malvér si nainštaloval vlastné rozšírenie do prehliadača. To znamená, že ani zmena hesla ti nepomohla, pokiaľ toto rozšírenie ostalo aktívne. V momente, keď si zadal nové heslo, útočník ho videl okamžite.
„Útok oddelil kradnutie údajov od hlavného kódu, takže fungovalo aj v prípade, že sa časť malvéru podarilo zastaviť,“ píše sa v správe Relia Quest.
Preto nestačilo „vyčistiť počítač“. Musel si skontrolovať aj zoznam rozšírení v Chrome, Edge alebo Firefoxe. Ak tam ostalo niečo podozrivé, útočník mal stále prístup.
Problém sa tým nekončil, malvér sa šíril aj cez USB zariadenia. Po pripojení kľúča vytvoril desiatky súborov, ktoré vyzerali ako bežné inštalátory, napríklad Chrome alebo Firefox. Stačilo jedno kliknutie na inom počítači a infekcia pokračovala ďalej.
Najzákernejšou funkciou malvéru je ale schopnosť ostať v zariadení aj po odinštalovaní. Po „vyčistení“ systému sa všetko tvárilo normálne. DeepLoad však využil WMI (Windows Management Instrumentation), kde si vytvoril skrytý mechanizmus pre opätovné spustenie. Tento mechanizmus nezanechal klasické stopy a bežné čistenie ho neodhalilo.
O tri dni neskôr sa útok spustil znova, bez kliknutia zo strany užívateľa. Preto nestačilo odstrániť súbory alebo ukončiť procesy. Bez kontroly WMI zostal systém otvorený pre návrat útočníka.
DeepLoad ukázal posun v tom, ako dnes útoky fungujú. Nespolieha sa na jednu chybu, ale na kombináciu viacerých techník, ktoré sa navzájom kryjú. Zneužíva legitímne nástroje, skrýva sa v pamäti a dokáže sa vrátiť aj po tom, čo si myslíš, že máš problém vyriešený.
Najväčším problémom je, že tradičné antivírusy hľadali súbory, ktoré tu často ani nevznikli. DeepLoad veľkú časť svojej aktivity presunul mimo disk, priamo do pamäte a legitímnych procesov Windowsu. Pre ochranu tak vyzerá ako „normálny systém“.
Ak chceš znížiť riziko, dávaj si pozor na stránky, ktoré ťa nútia kopírovať a spúšťať príkazy. Po incidente neostaň len pri zmene hesiel, skontroluj aj rozšírenia v prehliadači a pokročilé nastavenia systému.
A to je na tom najhoršie. Nepotrebuje chybu v systéme, potrebuje len teba.
