Uma versão mais recente de um carregador de malware chamado Hijack Loader foi observada incorporando um conjunto atualizado de técnicas anti-análise para se manter discreto.
"Esses aprimoramentos visam aumentar a discrição do malware, permanecendo não detectado por períodos mais longos," disse o pesquisador da Zscaler ThreatLabz, Muhammed Irfan V A, em um relatório técnico.
O Hijack Loader agora inclui módulos para adicionar uma exclusão ao Windows Defender Antivirus, contornar o Controle de Conta de Usuário (UAC), evitar o hooking da API inline, que é frequentemente utilizado por softwares de segurança para detecção, e empregar o processo de hollowing.
Também conhecido como IDAT Loader, é um carregador de malware que foi documentado pela primeira vez pela empresa de cibersegurança em setembro de 2023.
Nos meses seguintes, a ferramenta foi utilizada como um canal para entregar várias famílias de malware.
Isso inclui Amadey, Lumma Stealer (também conhecido como LummaC2), Meta Stealer, Racoon Stealer V2, Remcos RAT e Rhadamanthys.
O que torna a versão mais recente notável é o fato de ela decifrar e analisar uma imagem PNG para carregar o payload da próxima etapa, uma técnica que foi detalhada pela primeira vez pela Morphisec em conexão com uma campanha visando entidades ucranianas baseadas na Finlândia.
O carregador, segundo a Zscaler, vem equipado com uma primeira etapa, responsável por extrair e lançar a segunda etapa de uma imagem PNG que está embutida nele ou baixada separadamente, baseada na configuração do malware.
"O principal objetivo da segunda etapa é injetar o módulo de instrumentação principal," explicou Irfan.
Para aumentar a discrição, a segunda etapa do carregador emprega mais técnicas anti-análise usando múltiplos módulos.
Artefatos do Hijack Loader detectados na prática em março e abril de 2024 também incorporam até sete novos módulos para ajudar a criar novos processos, realizar o bypass do UAC e adicionar uma exclusão ao Windows Defender Antivirus via um comando PowerShell.
Somando à discrição do malware é o uso da técnica Heaven's Gate para contornar hooks do modo usuário, conforme anteriormente divulgado pela CrowdStrike em fevereiro de 2024.
"Amadey tem sido a família mais comumente entregue pelo HijackLoader," disse Irfan.
O carregamento da segunda etapa envolve o uso de uma imagem PNG embutida ou baixada da web.
Além disso, novos módulos foram integrados no HijackLoader, aprimorando suas capacidades e tornando-o ainda mais robusto.
Esse desenvolvimento ocorre em meio a campanhas de malware distribuindo diferentes famílias de carregadores de malware como DarkGate, FakeBat (também conhecido como EugenLoader), GuLoader via ataques de malvertising e phishing.
Isso também segue o surgimento de um ladrão de informações chamado TesseractStealer, que é distribuído pelo ViperSoftX e utiliza o motor de reconhecimento óptico de caracteres (OCR) de código aberto Tesseract para extrair texto de arquivos de imagem.
"O malware foca em dados específicos relacionados a credenciais e informações de carteira de criptomoedas," disse a Symantec, propriedade da Broadcom.
"Ao lado do TesseractStealer, algumas das recentes execuções do ViperSoftX também foram observadas distribuindo outro payload da família de malware Quasar RAT."
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...