Uma versão mais recente de um carregador de malware chamado Hijack Loader foi observada incorporando um conjunto atualizado de técnicas anti-análise para se manter discreto.
"Esses aprimoramentos visam aumentar a discrição do malware, permanecendo não detectado por períodos mais longos," disse o pesquisador da Zscaler ThreatLabz, Muhammed Irfan V A, em um relatório técnico.
O Hijack Loader agora inclui módulos para adicionar uma exclusão ao Windows Defender Antivirus, contornar o Controle de Conta de Usuário (UAC), evitar o hooking da API inline, que é frequentemente utilizado por softwares de segurança para detecção, e empregar o processo de hollowing.
Também conhecido como IDAT Loader, é um carregador de malware que foi documentado pela primeira vez pela empresa de cibersegurança em setembro de 2023.
Nos meses seguintes, a ferramenta foi utilizada como um canal para entregar várias famílias de malware.
Isso inclui Amadey, Lumma Stealer (também conhecido como LummaC2), Meta Stealer, Racoon Stealer V2, Remcos RAT e Rhadamanthys.
O que torna a versão mais recente notável é o fato de ela decifrar e analisar uma imagem PNG para carregar o payload da próxima etapa, uma técnica que foi detalhada pela primeira vez pela Morphisec em conexão com uma campanha visando entidades ucranianas baseadas na Finlândia.
O carregador, segundo a Zscaler, vem equipado com uma primeira etapa, responsável por extrair e lançar a segunda etapa de uma imagem PNG que está embutida nele ou baixada separadamente, baseada na configuração do malware.
"O principal objetivo da segunda etapa é injetar o módulo de instrumentação principal," explicou Irfan.
Para aumentar a discrição, a segunda etapa do carregador emprega mais técnicas anti-análise usando múltiplos módulos.
Artefatos do Hijack Loader detectados na prática em março e abril de 2024 também incorporam até sete novos módulos para ajudar a criar novos processos, realizar o bypass do UAC e adicionar uma exclusão ao Windows Defender Antivirus via um comando PowerShell.
Somando à discrição do malware é o uso da técnica Heaven's Gate para contornar hooks do modo usuário, conforme anteriormente divulgado pela CrowdStrike em fevereiro de 2024.
"Amadey tem sido a família mais comumente entregue pelo HijackLoader," disse Irfan.
O carregamento da segunda etapa envolve o uso de uma imagem PNG embutida ou baixada da web.
Além disso, novos módulos foram integrados no HijackLoader, aprimorando suas capacidades e tornando-o ainda mais robusto.
Esse desenvolvimento ocorre em meio a campanhas de malware distribuindo diferentes famílias de carregadores de malware como DarkGate, FakeBat (também conhecido como EugenLoader), GuLoader via ataques de malvertising e phishing.
Isso também segue o surgimento de um ladrão de informações chamado TesseractStealer, que é distribuído pelo ViperSoftX e utiliza o motor de reconhecimento óptico de caracteres (OCR) de código aberto Tesseract para extrair texto de arquivos de imagem.
"O malware foca em dados específicos relacionados a credenciais e informações de carteira de criptomoedas," disse a Symantec, propriedade da Broadcom.
"Ao lado do TesseractStealer, algumas das recentes execuções do ViperSoftX também foram observadas distribuindo outro payload da família de malware Quasar RAT."
Publicidade
A Dola é uma IA que funciona diretamente no WhatsApp ou Telegram, permitindo que você gerencie sua agenda — seja do Google Calendar ou do iPhone — de forma simples e intuitiva, mandando mensagens de texto, áudio ou até imagens.
Com a Dola, você recebe lembretes inteligentes, ligações na hora dos compromissos, resumo diário da sua agenda, pode fazer perguntas a qualquer momento e até receber, todos os dias, a previsão do tempo.
Perfeita para quem busca mais organização, foco e produtividade no dia a dia.
E o melhor: é gratuito! Experimente agora.
Saiba mais...