Новая схема атак в Windows 11: DeepLoad маскируется под команды пользователя и обходит защиту системы

В Windows 11 обнаружили новую схему атак через PowerShell, а также закрыли десятки уязвимостей в системе и Office: угрозы безопасности продолжают расти.

В экосистеме Windows зафиксировано появление новой вредоносной кампании, основанной на инструменте DeepLoad, а также серия критических уязвимостей, закрытых в мартовских обновлениях безопасности.

DeepLoad относится к категории загрузчиков нового типа и использует безфайловый сценарий атаки. Вместо установки подозрительных программ злоумышленники побуждают пользователя вручную выполнять команды в PowerShell или командной строке. Именно этот шаг запускает заражение системы.

Такой подход позволяет обходить традиционные антивирусные механизмы, ориентированные на поиск вредоносных файлов. После активации вредоносный код закрепляется в системе и взаимодействует с удаленными серверами, используя штатные компоненты Windows, включая PowerShell и Windows Management Instrumentation.

Основной задачей DeepLoad является получение учетных данных. После проникновения он может загружать дополнительные модули, среди которых бэкдоры, кейлоггеры и инструменты для перемещения внутри сети. Это дает возможность изменять сценарий атаки уже после первоначального доступа. Отдельно отмечается использование зашифрованных соединений и маскировки сетевой активности под обычный трафик. Такие методы усложняют обнаружение даже в корпоративных средах.

На фоне этих событий Microsoft выпустила внеплановые обновления безопасности для Windows 11. Они затрагивают в том числе версии 24H2, 25H2 и LTSC. Устраненные уязвимости связаны со службой маршрутизации и удаленного доступа и могли использоваться для удаленного выполнения кода. В ряде сценариев для атаки было достаточно подключения к уязвимому серверу.

В рамках мартовского обновления также закрыто более 80 уязвимостей, включая проблемы в Microsoft Office. В отдельных случаях выполнение вредоносного кода было возможно при просмотре писем через панель предварительного просмотра в Outlook.

Дополнительно фиксируется рост рисков, связанных с инструментами на базе ИИ, включая Copilot. Такие функции могут использоваться в сценариях, где данные передаются автоматически без явного участия пользователя.

Источник: ITC