Pesquisadores de segurança cibernética divulgaram uma nova campanha de malware que entrega artefatos do Hijack Loader assinados com certificados legítimos de assinatura de código.
A empresa francesa de segurança cibernética HarfangLab, que detectou a atividade no início do mês, disse que as cadeias de ataque visam implantar um ladrão de informações conhecido como Lumma.
Hijack Loader, também conhecido como DOILoader, IDAT Loader e SHADOWLADDER, veio à tona pela primeira vez em setembro de 2023. As cadeias de ataque envolvendo o carregador de malware geralmente envolvem enganar os usuários para que baixem um binário com armadilha sob o disfarce de software program ou filmes piratas.
Descobriu-se que variações recentes dessas campanhas direcionam os usuários para páginas CAPTCHA falsas que incentivam os visitantes do website a provar que são humanos, copiando e executando um comando PowerShell codificado que descarta a carga maliciosa na forma de um arquivo ZIP.
HarfangLab disse que observou três versões diferentes do script PowerShell a partir de meados de setembro de 2024 –
- Um script do PowerShell que utiliza mshta.exe para executar código hospedado em um servidor remoto
- Um script do PowerShell hospedado remotamente que é executado diretamente por meio do cmdlet Invoke-Expression (também conhecido como iex)
- Um script do PowerShell que emprega msiexec.exe para baixar e executar uma carga útil de uma URL remota
O arquivo ZIP, por sua vez, inclui um executável genuíno que é suscetível ao carregamento lateral de DLL e a DLL maliciosa (ou seja, Hijack Loader) que deve ser carregada.
“O objetivo da DLL HijackLoader carregada é descriptografar e executar um arquivo criptografado que é fornecido no pacote”, disse HarfangLab. “Este arquivo esconde o estágio closing do HijackLoader, que visa baixar e executar um implante ladrão.”
Diz-se que o mecanismo de entrega mudou do carregamento lateral de DLL para o uso de vários binários assinados no início de outubro de 2024, em uma tentativa de evitar a detecção por software program de segurança.
Atualmente não está claro se todos os certificados de assinatura de código foram roubados ou gerados intencionalmente pelos próprios agentes da ameaça, embora a empresa de segurança cibernética tenha avaliado com confiança baixa a média que poderia ser o último. Os certificados já foram revogados.
“Para várias autoridades emissoras de certificados, notamos que a aquisição e ativação de um certificado de assinatura de código é em grande parte automatizada e requer apenas um número de registro de empresa válido, bem como uma pessoa de contato”, afirmou. “Esta pesquisa ressalta que o malware pode ser assinado, destacando que a assinatura do código por si só não pode servir como um indicador básico de confiabilidade”.
O desenvolvimento ocorre no momento em que o SonicWall Seize Labs alerta sobre um aumento nos ataques cibernéticos que infectam máquinas Home windows com um malware chamado CoreWarrior.
“Este é um trojan persistente que tenta se espalhar rapidamente criando dezenas de cópias de si mesmo e alcançando vários endereços IP, abrindo vários soquetes para acesso backdoor e conectando elementos da interface do Home windows para monitoramento”, afirmou.
Campanhas de phishing também foram observadas entregando um malware ladrão e carregador de commodities conhecido como XWorm por meio de um arquivo de script do Home windows (WSF) que, por sua vez, baixa e executa um script PowerShell hospedado em paste(.)ee.
O script do PowerShell posteriormente inicia um script do Visible Fundamental, que atua como um canal para executar uma série de scripts em lote e do PowerShell para carregar uma DLL maliciosa responsável por injetar o XWorm em um processo legítimo (“RegSvcs.exe”).
A versão mais recente do XWorm (versão 5.6) inclui a capacidade de relatar o tempo de resposta, coletar capturas de tela, ler e modificar o arquivo host da vítima, executar um ataque de negação de serviço (DoS) contra um alvo e remover plug-ins armazenados, indicando um tentar evitar deixar um rastro forense.
“O XWorm é uma ferramenta multifacetada que pode fornecer uma ampla gama de funções ao invasor”, disse Jan Michael Alcantara, pesquisador de segurança do Netskope Risk Labs.