deepload - RunkIntel

# DeepLoad > [!danger] **DeepLoad** é um loader/infostealer descoberto em março de 2026, notável pelo uso de **obfuscação gerada por inteligência artificial** para evasão de detecção estática. Distribuidp via engenharia social do tipo ClickFix e capaz de re-infectar hosts dias após ser bloqueado, representa um salto de sofisticação em relação a malware convencional. ## Descrição **DeepLoad** é um malware do tipo loader/infostealer identificado e analisado pela ReliaQuest em março de 2026. O malware combina capacidades de **keylogging**, **roubo de credenciais de navegadores** e **persistência via WMI** com uma técnica inovadora de evasão: o uso de **inteligência artificial para gerar obfuscação** do código, inserindo grandes volumes de código inútil (junk code) para confundir scanners de análise estática. A cadeia de infecção começa com engenharia social via técnica [[clickfix|ClickFix]], que induz a vítima a executar comandos maliciosos acreditando estar realizando uma ação legítima (como "verificar sua identidade" ou "consertar um erro de sistema"). Uma vez instalado, o DeepLoad implementa persistência robusta via [[t1047-windows-management-instrumentation|WMI (Windows Management Instrumentation)]] e é capaz de **re-infectar hosts dias após ser aparentemente removido**, graças a um componente dropper que permanece oculto no sistema. **Relevância LATAM/Brasil:** A técnica ClickFix tem sido crescentemente adaptada para contextos em português, com páginas falsas de CAPTCHAs e alertas de segurança direcionados a usuários brasileiros. O DeepLoad, com seu modelo de persistência agressivo via WMI e obfuscação por IA, representa ameaça real para organizações nos setores [[financial|financeiro]], [[government|governo]] e [[technology|tecnologia]] no Brasil. ## Capacidades Técnicas O DeepLoad combina funcionalidades de loader (entrega de payloads secundários) e infostealer (roubo de informações do host): **Funcionalidades principais:** - **Keylogging ativo:** captura de teclas digitadas em tempo real, incluindo senhas e dados de formulários - **Roubo de credenciais de navegadores:** extração de passwords, cookies e tokens de sessão armazenados em Chrome, Firefox, Edge e derivados - **Persistência via WMI:** uso de [[t1047-windows-management-instrumentation|Windows Management Instrumentation]] para criar subscrições de evento permanentes — sobrevive a reboots e dificulta remoção manual - **Re-infecção persistente:** dropper oculto que re-instala o payload principal dias após bloqueio — projetado para frustrar respostas a incidentes - **Obfuscação por IA:** geração automática de junk code volumoso para enganar scanners estáticos e dificultar análise manual de engenharia reversa **Plataformas afetadas:** Windows (foco principal) **Tecnologia base:** Análise técnica da ReliaQuest indica uso de componentes em scripts interpretados (PowerShell/VBScript) com payload final em binário nativo Windows. ## Attack Flow ```mermaid graph TB A["ClickFix Pagina falsa / CAPTCHA"] --> B["Vitima executa comando via RunBox"] B --> C["Dropper DeepLoad instalado no sistema"] C --> D["Persistencia WMI Subscricao de evento"] D --> E["Keylogger ativo Roubo de credenciais"] E --> F["Exfiltracao para C2 credenciais e dados"] C --> G["Dropper oculto Re-infeccao pos-remocao"] classDef vermelho fill:#e74c3c,stroke:#c0392b,color:#fff classDef laranja fill:#f39c12,stroke:#e67e22,color:#fff classDef azul fill:#3498db,stroke:#2980b9,color:#fff class A,B vermelho class C,D,G laranja class E,F azul ``` **Legenda:** Vetor de entrega ClickFix induz execução manual pelo usuário → dropper instala DeepLoad e cria persistência via WMI → operação simultânea de keylogger e roubo de credenciais de navegadores → componente dropper secundário garante re-infecção mesmo após remoção. ## Obfuscação Gerada por IA A característica mais inovadora do DeepLoad é o uso de **inteligência artificial para geração de obfuscação**. Diferente de técnicas tradicionais de ofuscação (criptografia de strings, packing, virtualização de código), o DeepLoad utiliza IA para gerar grandes quantidades de **junk code sintáticamente válido** que: 1. Aumenta massivamente o tamanho do arquivo, tornando análise manual inviável 2. Introduce "ruído" no fluxo de execução que confunde análise estática baseada em heurísticas 3. Gera variantes únicas a cada compilação, frustrando detecções baseadas em assinatura 4. Imita padrões de código legítimo para enganar modelos de ML treinados em amostras de malware "clássico" Esta abordagem representa uma evolução preocupante: o custo de geração de variantes evasivas cai drasticamente quando automatizado por IA, permitindo que operadores de malware criem amostras virtualmente ilimitadas a um custo mínimo. ## Vetor de Entrega: ClickFix O [[clickfix|ClickFix]] é uma técnica de engenharia social que apresenta à vítima uma página web falsa — imitando páginas de verificação de identidade, alertas de segurança, CAPTCHAs ou páginas de erro do sistema — com instruções para "resolver um problema" copiando e executando um comando no terminal (Prompt de Comando ou PowerShell via Win+R). Exemplos de lures observados em campanhas ClickFix: - "Verifique que você não é um robô executando este comando" - "Seu browser precisa ser atualizado — siga as instruções" - "Erro de segurança detectado — execute este script de correção" A eficácia da técnica reside no fato de que **a vítima executa o malware voluntariamente**, o que dificulta a detecção por EDRs configurados para monitorar execução automatizada mas não interativa. ## Infraestrutura C2 **Protocolo de comunicação:** HTTP/HTTPS para exfiltração de dados coletados **Método de persistência:** WMI Event Subscription (permanente, sobrevive a reboot) **Técnicas de evasão:** - Obfuscação de código gerada por IA (junk code volumoso) - Mascaramento de processos como componentes legítimos do sistema - Dropper oculto para re-infecção pós-remoção **Indicadores de infraestrutura:** IOCs específicos de C2 não foram divulgados públicamente pela ReliaQuest no momento desta públicação. Monitorar atualizações. ## Indicadores de Comprometimento **Comportamentos suspeitos observados:** | Indicador | Tipo | Descrição | |-----------|------|-----------| | Subscrição WMI anômala | Comportamental | Criação de WMI Event Consumer/Filter/Binding inusitado | | Re-aparecimento pós-remoção | Comportamental | Malware retorna dias após bloqueio aparente | | Processo copiando credenciais de navegador | Comportamental | Acesso não esperado a arquivos de login de Chrome/Firefox/Edge | | Execução via Win+R/RunBox | Comportamental | Prompt de execução invocado em horário suspeito | **Regras de detecção:** monitorar criação de WMI subscriptions (`__EventConsumer`, `__EventFilter`, `__FilterToConsumerBinding`) por processos não-administrativos. ## Detecção **Fontes de dados recomendadas:** - **WMI Activity Log:** monitorar `Microsoft-Windows-WMI-Activity/Operational` para criação de subscriptions anômalas - **Process monitoring (EDR):** alertar para processos acessando diretórios de perfil de navegadores (`%APPDATA%\Google\Chrome\User Data\`, `%APPDATA%\Mozilla\Firefox\`) - **Network traffic:** detectar exfiltração de credenciais via padrões de POST anômalos para IPs/domínios desconhecidos - **PowerShell logging:** habilitar ScriptBlock logging para capturar comandos executados via `Win+R` **Cobertura por AV/EDR:** Devido à obfuscação gerada por IA, a cobertura por assinaturas estáticas pode ser **limitada** no momento da infecção. Priorizar detecção comportamental sobre assinaturas. ## Notas Relacionadas **Campanhas:** técnica de entrega compartilhada com outros loaders que usam [[clickfix|ClickFix]] **TTPs associadas:** [[t1566-phishing|T1566 - Phishing]] · [[t1047-windows-management-instrumentation|T1047 - WMI]] · [[t1056-001-keylogging|T1056.001 - Keylogging]] · [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files]] **Malware relacionado (mesma família de loaders):** [[lumma-stealer|Lumma Stealer]] · [[asyncrat|AsyncRAT]] **Setores em risco:** [[financial|Financeiro]] · [[government|Governo]] · [[technology|Tecnologia]] **Técnica de entrega:** [[clickfix|ClickFix]] ## Referências - [ReliaQuest — DeepLoad Malware Analysis](https://www.reliaquest.com/) - 2026-03-30 - [CyberScoop — DeepLoad uses AI obfuscation](https://cyberscoop.com/) - 2026-03-30 - [Dark Reading — DeepLoad ClickFix delivery](https://www.darkreading.com/) - 2026-03-30 - [The Hacker News — DeepLoad infostealer](https://thehackernews.com/) - 2026-03-30