Uma nova versão de um carregador de malware chamado Hijack Loader foi observada incorporando um conjunto atualizado de técnicas anti-análise para passar despercebido. Essas melhorias visam aumentar a furtividade do malware, permitindo assim que ele permaneça indetectado por períodos mais longos. Hijack Loader agora inclui módulos para adicionar uma exclusão para o Antivírus Windows Defender, burlar o Controle de Conta de Usuário (UAC), evitar o gancho de API inline frequentemente usado por softwares de segurança para detecção e empregar o processo de hollowing.
Hijack Loader, também chamado de IDAT Loader, é um carregador de malware que foi documentado pela primeira vez pela empresa de cibersegurança em setembro de 2023. Nos meses seguintes, a ferramenta tem sido utilizada como canal para entregar várias famílias de malware. Isso inclui Amadey, Lumma Stealer (também conhecido como LummaC2), Meta Stealer, Racoon Stealer V2, Remcos RAT e Rhadamanthys.
O que torna a versão mais recente notável é o fato de ela descriptografar e analisar uma imagem PNG para carregar a carga útil da próxima fase, uma técnica que foi detalhada pela primeira vez pela Morphisec em conexão com uma campanha direcionada a entidades ucranianas sediadas na Finlândia.
O carregador, segundo a Zscaler, vem equipado com uma primeira fase, responsável por extrair e lançar a segunda fase de uma imagem PNG que está incorporada ou baixada separadamente com base na configuração do malware. “O principal objetivo da segunda fase é injetar o módulo de instrumentação principal,” explicou Irfan. “Para aumentar a furtividade, a segunda fase do carregador utiliza mais técnicas anti-análise usando múltiplos módulos.”
Artefatos do Hijack Loader detectados na natureza em março e abril de 2024 também incorporam até sete novos módulos para ajudar a criar novos processos, realizar a burla do UAC e adicionar uma exclusão do Windows Defender Antivírus por meio de um comando do PowerShell. Adicionando-se à furtividade do malware está o uso da técnica Heaven’s Gate para contornar os ganchos do modo de usuário, como anteriormente divulgado pela CrowdStrike em fevereiro de 2024.
“A Amadey é a família mais comumente entregue pelo Hijack Loader,” disse Irfan. “O carregamento da segunda fase envolve o uso de uma imagem PNG incorporada ou uma imagem PNG baixada da web. Além disso, novos módulos foram integrados ao Hijack Loader, aprimorando suas capacidades e tornando-o ainda mais robusto.”
Esse desenvolvimento ocorre em meio a campanhas de malware distribuindo diferentes famílias de carregadores de malware como DarkGate, FakeBat (também conhecido como EugenLoader), GuLoader via malvertising e ataques de phishing. Isso também segue a emergência de um ladrão de informações chamado TesseractStealer, distribuído pelo ViperSoftX e que utiliza o motor de reconhecimento óptico de caracteres (OCR) Tesseract de código aberto para extrair texto de arquivos de imagem.
“O malware se concentra em dados específicos relacionados a credenciais e informações da carteira de criptomoedas,” disse a Symantec, de propriedade da Broadcom. “Além do TesseractStealer, algumas das execuções recentes do ViperSoftX também foram observadas baixando uma outra carga do malware da família Quasar RAT.”