deepload - RunkIntel

# DeepLoad > [!high] Novo Loader com Evasão Gerada por IA — Março 2026 > Loader de credenciais identificado pela ReliaQuest. Usa ClickFix como vetor inicial, obfuscação massiva gerada por IA, injeção de processo e persistência via WMI. Rouba senhas de browsers mesmo quando bloqueado. ## Visão Geral **DeepLoad** é um malware loader recém-identificado que chama atenção pela **adoção sistêmica de inteligência artificial na geração de código de evasão**. Pesquisadores da ReliaQuest documentaram a ameaça em março de 2026, descrevendo-o como um loader de credenciais que "provavelmente usa IA para obfuscar código em cada etapa" da cadeia de infecção. O que diferencia o DeepLoad de loaders convencionais é a escala de código junk gerado por IA: enormes volumes de código não funcional são embarcados no malware exclusivamente para dificultar análise estática por scanners de segurança. Esta técnica força analistas e ferramentas de detecção a processar e descartar código irrelevante antes de chegar à lógica maliciosa real. O roubo de credenciais começa imediatamente após a infecção, capturando senhas e sessões de browsers mesmo se o loader principal for detectado e bloqueado. Após bloqueio, o malware é capaz de **reinfectar o host dias depois** — evidênciando mecanismo de persistência robusto. ## Vetor de Infecção — ClickFix O DeepLoad usa a técnica **ClickFix** como vetor de acesso inicial. ClickFix é uma tática de engenharia social onde o usuário é induzido a: 1. Visitar uma página web com falso pop-up de erro ou verificação CAPTCHA 2. Clicar em um botão "Fix" ou "Verify" 3. Executar um comando colado na área de transferência (geralmente PowerShell ou cmd) Este vetor é cada vez mais comum em 2025-2026 como substituto para macros Office, pois não requer habilitação de macros e funciona em versões modernas do Windows. ## Capacidades Técnicas ### Evasão via IA A característica mais distintiva do DeepLoad é o uso de IA para gerar obfuscação: - **Código junk em escala:** grandes volumes de código não-funcional gerado por LLM são inseridos em torno do código malicioso real - **Evasão de análise estática:** scanners AV e EDR baseados em assinaturas consomem recursos processando código irrelevante - **Variação por instância:** a geração via IA permite que cada sample seja único, dificultando detecção por hash ou padrão fixo - **Injeção de processo:** o loader injeta código em processos legítimos do Windows para evitar detecção comportamental ### Persistência via WMI O DeepLoad utiliza **Windows Management Instrumentation (WMI)** para persistência, uma técnica LOTL (Living off the Land) que: - Cria assinaturas de evento WMI que executam o malware em condições específicas - É difícil de detectar por antivírus tradicionais (usa infraestrutura legítima do Windows) - Sobrevive a reboots sem modificar o registro do Windows de forma óbvia ### Roubo de Credenciais O roubo de credenciais é iniciado **imediatamente** após a infecção: - Rouba senhas salvas em browsers (Chrome, Edge, Firefox) - Captura cookies de sessão ativos - Persiste mesmo se o loader principal for bloqueado - Capacidade de reinfectar o host dias após bloqueio inicial ## Attack Flow ```mermaid graph TB A["Vítima acessa página maliciosa ClickFix / CAPTCHA falso"] --> B["Comando copiado para clipboard PowerShell / cmd"] B --> C["Usuário cola e executa T1204 - User Execution"] C --> D["DeepLoad baixado e executado Código junk IA em torno do payload"] D --> E["Injeção em processo legítimo T1055 - Process Injection"] D --> F["Persistência WMI T1547 - Autostart"] E --> G["Roubo imediato de credenciais Browsers, sessões, cookies"] F --> H["Reinfecção após bloqueio Dias depois se necessário"] G --> I["Exfiltração de credenciais C2 não documentado"] style A fill:#2c3e50,color:#fff style D fill:#e74c3c,color:#fff style G fill:#c0392b,color:#fff ``` ## Detecção e Defesa **Indicadores comportamentais:** - PowerShell ou cmd executado via clipboard com payloads codificados em base64 - Processos legítimos do Windows com injeção suspeita (explorer.exe, svchost.exe) - Assinaturas de evento WMI criadas por processos não administrativos - Tráfego de rede iniciado por processos que não deveriam fazer conexões externas **Contramedidas:** - Habilitar Windows Defender Credential Guard para proteger credenciais em memória - Implementar regras AMSI (Antimalware Scan Interface) para PowerShell ofuscado - Monitorar criação de subscriptions WMI com ferramentas de detecção EDR - Treinar usuários para não executar comandos instruídos em sites web (anti-ClickFix) - Bloquear PowerShell não assinado via AppLocker/WDAC em endpoints críticos ## LATAM / Brasil O ClickFix como vetor de entrega do DeepLoad é especialmente eficaz em ambientes corporativos brasileiros onde: - Usuários estão habituados a "resolver problemas" seguindo instruções de suporte técnico - O nível de conscientização sobre táticas de engenharia social via CAPTCHA falso ainda é limitado - Ambientes SOC com menor cobertura de análise comportamental de PowerShell O roubo de credenciais bancárias e de sistemas de internet banking corporativo representa um risco direto para o [[financial|setor financeiro]] brasileiro. ## Referências - [The Hacker News — DeepLoad Coverage](https://thehackernews.com/2026/03/deepload-malware-uses-clickfix-and-wmi.html) - [CyberScoop — ReliaQuest Research](https://cyberscoop.com/deepload-ai-malware-obfuscation-at-every-stage-reliaquest/) - [Dark Reading — AI-Powered DeepLoad](https://www.darkreading.com/cyberattacks-data-breaches/ai-powered-deepload-steals-credentials-evades-detection) ## Notas Relacionadas **TTPs:** [[t1566-phishing|T1566 - Phishing]] · [[t1055-process-injection|T1055 - Process Injection]] · [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files]] · [[t1547-boot-or-logon-autostart-execution|T1547 - Autostart via WMI]] · [[t1555-credentials-from-password-stores|T1555 - Credential Theft]] **Setores em risco:** [[financial|Financeiro]] · [[technology|Tecnologia]] **Contexto:** [[t1204-user-execution|ClickFix Social Engineering]] · [[cobalt-strike|Cobalt Strike]] (loader comparison)