Los hackers ahora esconden virus donde nadie busca — incluso en la pantalla de bloqueo
Breve historia de cómo DeepLoad conquista el mundo vía USB
Un clic en «corregir el error» en el navegador puede derivar en la total compromisión del equipo, y el nuevo malware DeepLoad demuestra lo rápido que ocurre. Basta con ejecutar el comando propuesto para que el sistema quede bajo control de los atacantes, sin archivos ni rastros visibles.
La empresa ReliaQuest registró ataques que usan DeepLoad en redes corporativas. La campaña no destaca por una técnica singular ingeniosa, pero toda la cadena está diseñada para eludir las defensas habituales. Una ejecución del comando se convierte en un acceso persistente, robo de credenciales y una instalación oculta en el sistema.
El ataque comienza con la técnica ClickFix. Al usuario se le muestra un mensaje de error verosímil y se le propone «arreglar» el problema manualmente. La persona pega el comando en la ventana Ejecutar de Windows, tras lo cual el sistema descarga y ejecuta el código malicioso. Luego DeepLoad crea una tarea programada para persistir en el sistema y ejecuta la utilidad integrada mshta.exe para cargar la siguiente etapa.
La carga útil principal está oculta dentro de un enmarañado script de PowerShell. El código está intencionadamente llenado con miles de variables sin sentido para que las herramientas de análisis de archivos no puedan aislar la parte maliciosa. La lógica operativa ocupa el mínimo espacio y descifra la carga útil directamente en la memoria. No se escribe nada al disco, por eso los antivirus clásicos no encuentran firmas.
El comportamiento del script sugiere el uso de inteligencia artificial. Este enfoque permite cambiar rápidamente la estructura del código y publicar nuevas versiones del malware, sin dar tiempo a que los sistemas de defensa se adapten.
Tras la ejecución, DeepLoad se oculta dentro del proceso LockAppHost.exe, que se encarga de la pantalla de bloqueo de Windows. Normalmente ese proceso no despierta sospechas y rara vez es analizado por las defensas. El malware inyecta código directamente en la memoria del proceso y lo ejecuta mediante un mecanismo de llamadas asíncronas. Como resultado, la infección se disimula como una actividad normal del sistema.
El robo de credenciales comienza de inmediato. DeepLoad intercepta la entrada del teclado, extrae contraseñas guardadas de los navegadores e instala una extensión maliciosa que supervisa las acciones del usuario. Además, funciona un módulo separado, filemanager.exe, que envía datos al servidor de los atacantes incluso si el cargador principal es bloqueado.
En varios casos el malware se propagó a través de medios extraíbles. Al conectar una memoria USB, DeepLoad escribía en ella docenas de archivos, disfrazándolos como instaladores de programas populares. Basta abrir uno de esos archivos en otro equipo para que la cadena de infección se repita.
Incluso después de limpiarla, el sistema puede permanecer infectado. DeepLoad utiliza el mecanismo de suscripciones de Windows Management Instrumentation. Ese mecanismo permite ejecutar automáticamente el malware varios días después del «tratamiento» del equipo. En uno de los incidentes la infección se repitió a los tres días sin intervención del usuario.
El problema principal es que las medidas de protección estándar son aquí casi inútiles. El análisis de archivos no ayuda porque el malware opera en la memoria y se hace pasar por procesos legítimos. Para detectarlo es necesario supervisar el comportamiento del sistema: ejecuciones de PowerShell que evaden restricciones, conexiones sospechosas desde mshta.exe y actividad inusual de procesos como LockAppHost.exe.
DeepLoad muestra un giro hacia ataques más rápidos y flexibles. Con ese enfoque, la defensa debe basarse no en buscar archivos sino en analizar las acciones dentro del sistema. De lo contrario, un clic imprudente puede otorgar a los atacantes acceso persistente y tiempo para robar todas las credenciales.