Хакеры научились прятать вирусы там, где их никто не ищет. Например, в вашем экране блокировки

Один клик по «исправлению ошибки» в браузере может обернуться полной компрометацией компьютера, и новый вредонос DeepLoad показывает, насколько быстро это происходит. Достаточно выполнить предложенную команду, и система уже под контролем злоумышленников, без явных файлов и следов.

Компания ReliaQuest зафиксировала атаки с использованием DeepLoad в корпоративных сетях. Кампания не выделяется одной хитрой техникой, зато вся цепочка выстроена так, чтобы обойти привычные средства защиты. Один запуск команды превращается в устойчивый доступ, кражу учётных данных и скрытое закрепление в системе.

Атака начинается с приёма ClickFix. Пользователю показывают правдоподобное сообщение об ошибке и предлагают «починить» проблему вручную. Человек вставляет команду в окно запуска Windows, после чего система сама загружает и выполняет вредоносный код. Дальше DeepLoad создаёт запланированную задачу, чтобы закрепиться в системе, и запускает встроенную утилиту mshta.exe для загрузки следующего этапа.

Основная нагрузка скрыта внутри запутанного сценария PowerShell. Код намеренно засорён тысячами бессмысленных переменных, чтобы средства проверки файлов не смогли выделить вредоносную часть. Рабочая логика занимает минимум места и расшифровывает полезную нагрузку прямо в памяти. На диск ничего не записывается, поэтому классические антивирусы не находят сигнатур.

Поведение сценария наводит на мысль об использовании искусственного интеллекта. Такой подход позволяет быстро менять структуру кода и выпускать новые версии вредоносной программы, не давая защитным системам адаптироваться.

После запуска DeepLoad прячется внутри процесса LockAppHost.exe, который отвечает за экран блокировки Windows. Обычно такой процесс не вызывает подозрений и редко проверяется средствами защиты. Вредонос внедряет код прямо в память процесса и запускает его через механизм асинхронных вызовов. В результате заражение маскируется под обычную активность системы.

Кража учётных данных начинается сразу. DeepLoad перехватывает ввод с клавиатуры, извлекает сохранённые пароли из браузеров и устанавливает вредоносное расширение, которое следит за действиями пользователя. Дополнительно работает отдельный модуль filemanager.exe, который передаёт данные на сервер злоумышленников даже в случае блокировки основного загрузчика.

В нескольких случаях вредонос распространялся через съёмные носители. При подключении флешки DeepLoad записывал на неё десятки файлов, маскируя их под установщики популярных программ. Достаточно открыть такой файл на другом компьютере, чтобы цепочка заражения повторилась.

Даже после очистки система может оставаться заражённой. DeepLoad использует механизм подписок Windows Management Instrumentation. Такой механизм позволяет автоматически запускать вредонос спустя несколько дней после «лечения» компьютера. В одном из инцидентов заражение повторилось через три дня без участия пользователя.

Главная проблема в том, что стандартные меры защиты здесь почти бесполезны. Проверка файлов не помогает, потому что вредонос работает в памяти и маскируется под легитимные процессы. Для обнаружения требуется отслеживать поведение системы: запуск PowerShell с обходом ограничений, подозрительные соединения mshta.exe и необычную активность процессов вроде LockAppHost.exe.

DeepLoad показывает сдвиг в сторону более быстрых и гибких атак. При таком подходе защита должна опираться не на поиск файлов, а на анализ действий внутри системы. Иначе один неосторожный клик может дать злоумышленникам устойчивый доступ и время на кражу всех учётных данных.