HijackLoader

El desplegament de HijackLoader per part d'actors d'amenaça s'ha fet cada cop més freqüent a causa de la seva eficàcia per injectar codi maliciós en processos legítims, facilitant l'execució discreta de càrregues útils. Aquesta tècnica els permet evitar la detecció mitjançant la utilització d'aplicacions de confiança per a activitats insegures, creant un entorn més difícil per a les mesures de seguretat per identificar i contrarestar l'amenaça de manera eficaç. Les observacions dels investigadors revelen casos de HijackLoader (també conegut com IDAT Loader) que utilitzen tècniques sofisticades per eludir la detecció.

HijackLoader mostra capacitats amenaçadores evolucionades

Els investigadors han identificat l'evolució de HijackLoader, incorporant noves tècniques d'evasió de defensa, com ara el buit de processos, l'activació activada per canonades i una combinació de processos de duplicació. Aquestes millores milloren la seva dissimulació i complexitat, fent que l'anàlisi sigui més difícil. A més, el programari maliciós utilitza tècniques de desenganxament addicionals, contribuint encara més a les seves capacitats evasives.

El sofisticat HijackLoader inicia les seves operacions mitjançant streaming_client.exe, que ofusca una configuració per frustrar l'anàlisi estàtica. Utilitzant les API de WinHTTP, prova la connectivitat a Internet posant-se en contacte a https://nginx.org. Quan es connecta correctament, recupera una configuració de segona etapa d'un servidor remot.

Un cop equipat amb la configuració de la segona etapa, el programari maliciós cerca bytes de capçalera PNG i un valor màgic específic. Posteriorment, desxifra la informació mitjançant XOR i la descomprimeix mitjançant l'API RtlDecompressBuffer. El següent pas consisteix a carregar una DLL legítima de Windows especificada a la configuració, escrivint el codi shell a la seva secció .text per a l'execució. Utilitza Heaven's Gate per eludir els ganxos del mode d'usuari i injecta codis d'intèrpret addicionals a cmd.exe. El codi de comandament de la tercera etapa injecta una càrrega útil final, com una balisa Cobalt Strike , a logagent.exe mitjançant la buidació del procés.

HijackLoader utilitza diverses estratègies d'evasió, inclosa la derivació de ganxos de Heaven's Gate i les DLL de desenganxament supervisades per eines de seguretat. Utilitza variacions de buidat del procés i buidat transaccionat per a la injecció, combinant la secció transaccionada i el procés de doppelgänging amb el buit DLL per evadir encara més la detecció.

HijackLoader està equipat amb múltiples tècniques anti-detecció

Les principals tècniques d'evasió emprades per HijackLoader i Shellcode inclouen:

• Desviació de ganxo:
• Porta del Cel
• Desenganxant
• Variació de buidat del procés

La utilització de HijackLoader subratlla la importància crítica de les mesures proactives de ciberseguretat per identificar i prevenir aquests atacs subreptics.

Les organitzacions haurien de posar èmfasi en les auditories de seguretat rutinàries, implementar una protecció sòlida dels punts finals i mantenir-se informades sobre les amenaces emergents per defensar-se de les tàctiques en evolució emprades per actors malintencionats de manera eficaç.

A més d'aquestes mesures, l'educació dels usuaris i la formació de conscienciació tenen un paper crucial per mitigar els riscos associats d'aquests vectors d'atac sofisticats.