Você está visualizando atualmente Hijack Loader Malware Emprega Process Hollowing, UAC Bypass na Última Versão

Hijack Loader Malware Emprega Process Hollowing, UAC Bypass na Última Versão

Uma nova versão de um carregador de malware chamado Hijack Loader foi observada incorporando um conjunto atualizado de técnicas anti-análise para passar despercebido. Essas melhorias visam aumentar a furtividade do malware, permitindo assim que ele permaneça indetectado por períodos mais longos. Hijack Loader agora inclui módulos para adicionar uma exclusão para o Antivírus Windows Defender, burlar o Controle de Conta de Usuário (UAC), evitar o gancho de API inline frequentemente usado por softwares de segurança para detecção e empregar o processo de hollowing.

Hijack Loader, também chamado de IDAT Loader, é um carregador de malware que foi documentado pela primeira vez pela empresa de cibersegurança em setembro de 2023. Nos meses seguintes, a ferramenta tem sido utilizada como canal para entregar várias famílias de malware. Isso inclui Amadey, Lumma Stealer (também conhecido como LummaC2), Meta Stealer, Racoon Stealer V2, Remcos RAT e Rhadamanthys.

O que torna a versão mais recente notável é o fato de ela descriptografar e analisar uma imagem PNG para carregar a carga útil da próxima fase, uma técnica que foi detalhada pela primeira vez pela Morphisec em conexão com uma campanha direcionada a entidades ucranianas sediadas na Finlândia.

O carregador, segundo a Zscaler, vem equipado com uma primeira fase, responsável por extrair e lançar a segunda fase de uma imagem PNG que está incorporada ou baixada separadamente com base na configuração do malware. “O principal objetivo da segunda fase é injetar o módulo de instrumentação principal,” explicou Irfan. “Para aumentar a furtividade, a segunda fase do carregador utiliza mais técnicas anti-análise usando múltiplos módulos.”

Artefatos do Hijack Loader detectados na natureza em março e abril de 2024 também incorporam até sete novos módulos para ajudar a criar novos processos, realizar a burla do UAC e adicionar uma exclusão do Windows Defender Antivírus por meio de um comando do PowerShell. Adicionando-se à furtividade do malware está o uso da técnica Heaven’s Gate para contornar os ganchos do modo de usuário, como anteriormente divulgado pela CrowdStrike em fevereiro de 2024.

“A Amadey é a família mais comumente entregue pelo Hijack Loader,” disse Irfan. “O carregamento da segunda fase envolve o uso de uma imagem PNG incorporada ou uma imagem PNG baixada da web. Além disso, novos módulos foram integrados ao Hijack Loader, aprimorando suas capacidades e tornando-o ainda mais robusto.”

Esse desenvolvimento ocorre em meio a campanhas de malware distribuindo diferentes famílias de carregadores de malware como DarkGate, FakeBat (também conhecido como EugenLoader), GuLoader via malvertising e ataques de phishing. Isso também segue a emergência de um ladrão de informações chamado TesseractStealer, distribuído pelo ViperSoftX e que utiliza o motor de reconhecimento óptico de caracteres (OCR) Tesseract de código aberto para extrair texto de arquivos de imagem.

“O malware se concentra em dados específicos relacionados a credenciais e informações da carteira de criptomoedas,” disse a Symantec, de propriedade da Broadcom. “Além do TesseractStealer, algumas das execuções recentes do ViperSoftX também foram observadas baixando uma outra carga do malware da família Quasar RAT.”