HijackLoader

L’implementazione di HijackLoader da parte degli autori delle minacce è diventata sempre più diffusa grazie alla sua efficacia nell’inserire codice dannoso nei processi legittimi, facilitando l’esecuzione discreta dei payload. Questa tecnica consente loro di evitare il rilevamento utilizzando applicazioni attendibili per attività non sicure, creando un ambiente più difficile in cui le misure di sicurezza identificano e contrastano la minaccia in modo efficace. Le osservazioni dei ricercatori rivelano casi di HijackLoader (noto anche come IDAT Loader) che utilizzano tecniche sofisticate per eludere il rilevamento.

HijackLoader mostra capacità minacciose evolute

I ricercatori hanno identificato l'evoluzione di HijackLoader, incorporando nuove tecniche di evasione della difesa come lo svuotamento del processo, l'attivazione attivata dal tubo e una combinazione di doppelganging del processo. Questi miglioramenti ne aumentano la segretezza e la complessità, rendendo l'analisi più impegnativa. Inoltre, il malware impiega ulteriori tecniche di sgancio, contribuendo ulteriormente alle sue capacità evasive.

Il sofisticato HijackLoader avvia le sue operazioni tramite streaming_client.exe, che offusca una configurazione per contrastare l'analisi statica. Utilizzando le API WinHTTP, testa la connettività Internet raggiungendo https://nginx.org. Una volta stabilita la connessione, recupera una configurazione di seconda fase da un server remoto.

Una volta dotato della configurazione di secondo livello, il malware esegue la scansione dei byte dell'intestazione PNG e di un valore magico specifico. Successivamente, decrittografa le informazioni utilizzando XOR e le decomprime tramite l'API RtlDecompressBuffer. Il passaggio successivo prevede il caricamento di una DLL Windows legittima specificata nella configurazione, scrivendo lo shellcode nella sua sezione .text per l'esecuzione. Utilizza Heaven's Gate per aggirare gli hook della modalità utente e inserisce shellcode aggiuntivi in cmd.exe. Lo shellcode della terza fase inserisce un payload finale, come un beacon Cobalt Strike , in logagent.exe utilizzando il processo di svuotamento.

HijackLoader impiega varie strategie di evasione, tra cui il bypass dell'hook di Heaven's Gate e lo sgancio delle DLL monitorate da strumenti di sicurezza. Utilizza variazioni di svuotamento del processo e svuotamento transazionale per l'iniezione, combinando la sezione transazionale e il doppelgänging del processo con lo svuotamento DLL per eludere ulteriormente il rilevamento.

HijackLoader è dotato di molteplici tecniche anti-rilevamento

Le principali tecniche di evasione impiegate da HijackLoader e Shellcode includono:

• Bypass del gancio:
• Cancello del Paradiso
• Sganciamento
• Variazione del processo di svuotamento

L’utilizzo di HijackLoader sottolinea l’importanza fondamentale delle misure proattive di sicurezza informatica per identificare e prevenire tali attacchi furtivi.

Le organizzazioni dovrebbero porre l’accento sui controlli di sicurezza di routine, implementare una solida protezione degli endpoint e rimanere informate sulle minacce emergenti per difendersi in modo efficace dalle tattiche in evoluzione impiegate da attori malintenzionati.

Oltre a queste misure, l’educazione degli utenti e la sensibilizzazione svolgono un ruolo cruciale nel mitigare i rischi associati a questi sofisticati vettori di attacco.