Os atores da prenúncio por trás de um malware carregador chamado HijackLoader adicionaram novas técnicas para evasão de resguardo, à medida que o malware continua a ser cada vez mais usado por outros atores de ameaças para fornecer cargas e ferramentas adicionais.
“O desenvolvedor do malware usou uma técnica padrão de esvaziamento de processo juntamente com um gatilho suplementar que foi ativado pelo processo pai gravando em um pipe”, disseram os pesquisadores da CrowdStrike, Donato Onofri e Emanuele Calvelli, em uma estudo na quarta-feira. “Esta novidade abordagem tem o potencial de tornar a evasão da resguardo mais furtiva.”
O HijackLoader foi documentado pela primeira vez pelo Zscaler ThreatLabz em setembro de 2023 uma vez que tendo sido usado uma vez que um conduto para entregar DanaBot, SystemBC e RedLine Stealer. Também é divulgado por compartilhar um tá proporção de semelhança com outro carregador divulgado uma vez que IDAT Loader.
Ambos os carregadores são avaliados uma vez que operados pelo mesmo grupo de crimes cibernéticos. Nos meses seguintes, o HijackLoader foi propagado via ClearFake e posto em uso pelo TA544 (também divulgado uma vez que Narwhal Spider, Gold Essex e Ursnif Gang) para entregar Remcos RAT e SystemBC por meio de mensagens de phishing.
“Pense nos carregadores uma vez que lobos em pele de cordeiro. Seu objetivo é entrar furtivamente, introduzir e executar ameaças e ferramentas mais sofisticadas”, disse Liviu Arsene, diretor de pesquisa de ameaças e relatórios da CrowdStrike, em enviado compartilhado com o The Hacker News.
“Esta versão recente do HijackLoader (também divulgado uma vez que IDAT Loader) intensifica seu jogo furtivo adicionando e experimentando novas técnicas. Isso é semelhante a aprimorar seu socapa, tornando-o mais furtivo, mais multíplice e mais difícil de explorar. Em origem, eles ' estamos refinando sua camuflagem do dedo.”
O ponto de partida da masmorra de ataque em vários estágios é um factível (“streaming_client.exe”) que verifica uma conexão ativa com a Internet e baixa uma feição de segundo estágio de um servidor remoto.
O factível portanto carrega uma livraria de vínculo dinâmico (DLL) legítima especificada na feição para ativar o shellcode responsável por iniciar a trouxa útil do HijackLoader por meio de uma combinação de técnicas de doppelgänging e esvaziamento de processo que aumentam a dificuldade da estudo e os recursos de evasão de resguardo.
“O shellcode de segundo estágio do HijackLoader, independente de posição, executa algumas atividades de evasão para contornar os ganchos do modo de usuário usando o Heaven’s Gate e injeta o shellcode subsequente no cmd.exe”, disseram os pesquisadores.
“A injeção do shellcode de terceiro estágio é realizada por meio de uma variação de esvaziamento do processo que resulta em um mshtml.dll vazio injetado no processo fruto cmd.exe recém-gerado.”
Heaven's Gate refere-se a um truque furtivo que permite que software malicioso evite produtos de segurança de endpoint invocando código de 64 bits em processos de 32 bits no Windows, ignorando efetivamente os ganchos do modo de usuário.
Uma das principais técnicas de evasão observadas nas sequências de ataque do HijackLoader é o uso de um mecanismo de injeção de processo denominado esvaziamento transacionado, que já foi observado em malware uma vez que o trojan bancário Osiris.
“Os carregadores devem atuar uma vez que plataformas de lançamento furtivas para que os adversários introduzam e executem malware e ferramentas mais sofisticadas sem queimar seus ativos nos estágios iniciais”, disse Arsene.
“Investir em novos recursos de evasão de resguardo para o HijackLoader (também divulgado uma vez que IDAT Loader) é potencialmente uma tentativa de torná-lo mais furtivo e voar aquém do radar das soluções de segurança tradicionais. As novas técnicas sinalizam uma evolução deliberada e experimental das capacidades de evasão de resguardo existentes, ao mesmo tempo que também aumentando a dificuldade da estudo para pesquisadores de ameaças.”
