HijackLoader

A implantação do HijackLoader por agentes de ameaças tornou-se cada vez mais prevalente devido à sua eficácia na injeção de código malicioso em processos legítimos, facilitando a execução discreta de cargas úteis. Essa técnica permite evitar a detecção, utilizando aplicativos confiáveis para atividades inseguras, criando um ambiente mais desafiador para medidas de segurança identificarem e combaterem a ameaça de forma eficaz. Observações de pesquisadores revelam casos do HijackLoader (também conhecido como IDAT Loader) empregando técnicas sofisticadas para escapar da detecção.

O HijackLoader Exibe Capacidades Ameaçadoras Evoluídas

Os pesquisadores identificaram a evolução do HijackLoader, incorporando novas técnicas de evasão de defesa, como esvaziamento de processo, ativação acionada por tubo e uma combinação de doppelganger de processo. Essas melhorias aumentam sua furtividade e complexidade, tornando a análise mais desafiadora. Além disso, o malware emprega técnicas extras de desengate, contribuindo ainda mais para suas capacidades evasivas.

O sofisticado HijackLoader inicia suas operações por meio de streaming_client.exe, que ofusca uma configuração para impedir a análise estática. Utilizando APIs WinHTTP, ele testa a conectividade com a Internet acessando https://nginx.org. Após a conexão bem-sucedida, ele recupera uma configuração de segundo estágio de um servidor remoto.

Uma vez equipado com a configuração de segundo estágio, o malware procura bytes de cabeçalho PNG e um valor mágico específico. Posteriormente, ele descriptografa as informações usando XOR e as descompacta por meio da API RtlDecompressBuffer. A próxima etapa envolve carregar uma DLL legítima do Windows especificada na configuração, gravando o shellcode em sua seção .text para execução. Ele emprega o Heaven's Gate para contornar os ganchos do modo de usuário e injeta shellcodes adicionais no cmd.exe. O shellcode de terceiro estágio injeta uma carga útil final, como um beacon Cobalt Strike, em logagent.exe usando esvaziamento de processo

O HijackLoader emprega várias estratégias de evasão, incluindo desvio de gancho do Heaven's Gate e desengate de DLLs monitoradas por ferramentas de segurança. Ele utiliza variações de esvaziamento de processo e esvaziamento transacionado para injeção, combinando seção transacionada e doppelgänging de processo com esvaziamento de DLL para evitar ainda mais a detecção.

O HijackLoader está Equipado com Múltiplas Técnicas de Anti-Detecção

As principais técnicas de evasão empregadas pelo HijackLoader e Shellcode incluem:

• Desvio de gancho:
• Portão do céu
• Desengatando
• Variação de esvaziamento do processo
• Variação de esvaziamento de processo interativo:
• Análise de artesanato
• Hollowing Transacionado (Seção Transacionada/Doppelgänger + HollowingEsvaziamento de seção transacionada
• Esvaziamento de Processo

A utilização do HijackLoader ressalta a importância crítica de medidas proativas de segurança cibernética para identificar e prevenir tais ataques sub-reptícios.

As organizações devem colocar ênfase em auditorias de segurança de rotina, implementar uma proteção robusta de endpoints e manter-se informadas sobre ameaças emergentes para se defenderem de forma eficaz contra as táticas em evolução empregadas por atores mal-intencionados.

Além destas medidas, a educação dos utilizadores e a formação de sensibilização desempenham um papel crucial na mitigação dos riscos associados a estes sofisticados vetores de ataque.