DeepLoadは何をするマルウェアですか？

A. 企業を狙う情報窃取型と見られます。

発端はClickFixで、偽のブラウザ表示やエラーを見せたあと、悪意あるコマンドを実行させる流れが使われます。そのコマンドは、読み込み役を繰り返し動かす予定タスクを作り、継続的なアクセスを確立します。

読み込み役にはmshta.exeが使われ、読み込まれる内容は実行環境にファイルとして残らない形です。

さらに先頭に大量の無意味な変数定義が置かれており、悪意ある部分を見つけにくくしているようです。

認証情報の取得では、保存済みの情報に加え、入力された情報もその場で集める作りになっています。加えて別モジュールでも認証情報を集める機能が動作します。

ブラウザ全体の操作を記録する悪意ある拡張機能も入り、再起動後も残り続けます。

本体はメモリ上で動き、LockAppHost.exeに注入され、挿入に使うDLLもランダムな名前で置かれます。

難読化の機構の実装量の多さやその統一性などからの推測ですが、実装には生成AIが使用されたのではないかと考えられています。

👉 詳細のブログはこちら