Pesquisadores de cibersegurança descobriram uma versão atualizada de um malware loader chamado Hijack Loader, que implementa novos recursos para evitar detecção e estabelecer persistência em sistemas comprometidos.
"O Hijack Loader lançou um novo módulo que implementa a falsificação de call stack para esconder a origem de chamadas de função (por exemplo, chamadas de API e sistema)", disse o pesquisador da Zscaler ThreatLabz, Muhammed Irfan VA, em uma análise.
O Hijack Loader adicionou um novo módulo para realizar verificações anti-VM a fim de detectar ambientes de análise de malware e sandboxes.
O Hijack Loader, descoberto pela primeira vez em 2023, oferece a capacidade de entregar payloads de segunda fase, como o malware de roubo de informações.
Ele também vem com uma variedade de módulos para contornar softwares de segurança e injetar código malicioso.
O Hijack Loader é monitorado pela comunidade de cibersegurança mais ampla sob os nomes DOILoader, GHOSTPULSE, IDAT Loader e SHADOWLADDER.
Em outubro de 2024, a HarfangLab e a Elastic Security Labs detalharam campanhas do Hijack Loader que utilizavam certificados legítimos de assinatura de código, bem como a infame estratégia ClickFix para distribuir o malware.
A última iteração do loader vem com uma série de melhorias em relação ao seu predecessor, sendo a mais notável a adição de falsificação de call stack como uma tática de evasão para ocultar a origem de chamadas de API e de sistema, um método recentemente adotado também por outro malware loader conhecido como CoffeeLoader.
"Esta técnica utiliza uma cadeia de ponteiros EBP para atravessar a pilha e ocultar a presença de uma chamada maliciosa na pilha, substituindo os quadros de pilha reais por outros fabricados", disse a Zscaler.
Como nas versões anteriores, o Hijack Loader aproveita a técnica Heaven's Gate para executar syscalls diretos de 64 bits para injeção de processo.
Outras mudanças incluem uma revisão na lista de processos bloqueados para incluir "avastsvc.exe", um componente do Avast Antivirus, para atrasar a execução por cinco segundos.
O malware também incorpora dois novos módulos, nomeadamente ANTIVM para detectar máquinas virtuais e modTask para configurar persistência por meio de tarefas agendadas.
Os resultados mostram que o Hijack Loader continua a ser mantido ativamente por seus operadores com a intenção de complicar a análise e detecção.
O desenvolvimento ocorre enquanto a Elastic Security Labs detalhou uma nova família de malware chamada SHELBY que usa o GitHub para comando e controle (C2), exfiltração de dados e controle remoto.
A atividade está sendo rastreada como REF8685.
A cadeia de ataque envolve o uso de um e-mail de phishing como ponto de partida para distribuir um arquivo ZIP contendo um binário .NET usado para executar um loader de DLL rastreado como SHELBYLOADER ("HTTPService.dll") por meio de side-loading de DLL.
As mensagens de e-mail foram entregues a uma empresa de telecomunicações baseada no Iraque através de um e-mail de phishing altamente direcionado enviado de dentro da organização alvo.
O loader subsequentemente inicia comunicações com o GitHub para C2 para extrair um valor específico de 48 bytes de um arquivo chamado "License.txt" no repositório controlado pelos atacantes.
O valor é então usado para gerar uma chave de descriptografia AES e decifrar o payload principal da backdoor ("HTTPApi.dll") e carregá-lo na memória sem deixar artefatos detectáveis no disco.
"O SHELBYLOADER utiliza técnicas de detecção de sandbox para identificar ambientes virtualizados ou monitorados", disse a Elastic.
Uma vez executado, ele envia os resultados de volta para o C2.
Esses resultados são embalados como arquivos de log, detalhando se cada método de detecção identificou com sucesso um ambiente de sandbox.
A backdoor SHELBYC2, por sua vez, analisa comandos listados em outro arquivo chamado "Command.txt" para baixar / enviar arquivos de / para um repositório do GitHub, carregar um binário .NET reflexivamente e executar comandos do PowerShell.
O notável aqui é que a comunicação C2 ocorre por meio de commits no repositório privado fazendo uso de um Token de Acesso Pessoal (PAT).
"A forma como o malware é configurado significa que qualquer pessoa com o PAT pode, teoricamente, buscar comandos enviados pelo atacante e acessar saídas de comando de qualquer máquina vítima", disse a empresa.
Isso porque o token PAT está embutido no binário e pode ser usado por qualquer pessoa que o obtenha.
O Emmenhtal Espalha o SmokeLoader via Arquivos 7-Zip
E-mails de phishing com iscas temáticas de pagamento também foram observados entregando uma família de malware loader codinomeada loader Emmenhtal (aka PEAKLIGHT), que atua como um condutor para implantar outro malware conhecido como SmokeLoader.
"Uma técnica notável observada nesta amostra de SmokeLoader é o uso do .NET Reactor, uma ferramenta de proteção comercial do .NET usada para ofuscação e empacotamento", disse a GDATA.
Enquanto o SmokeLoader historicamente aproveitou empacotadores como Themida, Enigma Protector e crypters customizados, o uso do .NET Reactor alinha-se com tendências vistas em outras famílias de malware, particularmente stealers e loaders, devido aos seus fortes mecanismos contra análise.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...