Os atores por trás de um malware carregador chamado HijackLoader adicionaram novas técnicas para evasão de defesa, à medida que o malware continua a ser cada vez mais usado por outros atores de ameaça para entregar payloads e ferramentas adicionais.
"O desenvolvedor do malware usou uma técnica padrão de processo juntamente com um gatilho adicional que era ativado pelo processo pai escrevendo em um pipe", disseram os pesquisadores da CrowdStrike Donato Onofri e Emanuele Calvelli em uma análise de quarta-feira.
"Esta nova abordagem tem o potencial de tornar a evasão de defesa mais furtiva."
HijackLoader foi documentado pela primeira vez pela Zscaler ThreatLabz em setembro de 2023 como tendo sido usado como um conduto para entregar DanaBot, SystemBC, e RedLine Stealer.
É também conhecido por partilhar um elevado grau de semelhança com outro carregador conhecido como IDAT Loader.
Ambos os carregadores são avaliados como sendo operados pelo mesmo grupo de cibercriminosos.
Nos meses seguintes, o HijackLoader foi propagado via ClearFake e utilizado pelo TA544 (aka Narwhal Spider, Gold Essex, e Ursnif Gang) para entregar Remcos RAT e SystemBC através de mensagens de phishing.
"Pense nos carregadores como lobos em pele de ovelha.
Seu objetivo é se infiltrar, introduzir e executar ameaças e ferramentas mais sofisticadas", disse Liviu Arsene, diretor de pesquisa e relatórios de ameaças na CrowdStrike, em um comunicado compartilhado com o The Hacker News.
"Esta variante recente do HijackLoader (também conhecido como IDAT Loader) eleva seu jogo de infiltração adicionando e experimentando novas técnicas.
Isto é semelhante a aprimorar seu disfarce, tornando-o mais furtivo, mais complexo e mais difícil de analisar.
Em essência, eles estão refinando seu camuflagem digital."
O ponto de partida da cadeia de ataque multi-estágio é um executável ("streaming_client.exe") que verifica se há uma conexão ativa com a Internet e prossegue para baixar uma configuração de segundo estágio de um servidor remoto.
O executável então carrega uma biblioteca de link dinâmico (DLL) legítima especificada na configuração para ativar o código responsável pelo lançamento da carga útil do HijackLoader através de uma combinação de técnicas de processamento doppelgänging e processamento de invólucro que aumenta a complexidade de análise e as capacidades de evasão de defesa.
"O payload de segundo estágio do HijackLoader, shellcode independente de posição, então realiza algumas atividades de evasão para contornar os ganchos do modo de usuário usando o Heaven's Gate e injeta shellcode subsequente no cmd.exe", disseram os pesquisadores.
"A injeção do shellcode do terceiro estágio é realizada via uma variação de escavação de processo que resulta em uma mshtml.dll invadida injetada no processo filho cmd.exe recém-criado."
Heaven's Gate se refere a um truque furtivo que permite que o software malicioso evite produtos de segurança de endpoint invocando código de 64 bits em processos de 32 bits no Windows, contornando efetivamente os ganchos do modo de usuário.
Uma das principais técnicas de evasão observadas nas sequências de ataque do HijackLoader é o uso de um mecanismo de injeção de processo chamado transacted hollowing, que já foi observado em malwares como o trojan bancário Osiris.
"Os carregadores são destinados a agir como plataformas de lançamento furtivas para os adversários introduzirem e executarem malwares e ferramentas mais sofisticados sem queimar seus ativos nos estágios iniciais", disse Arsene.
"Investir em novas capacidades de evasão de defesa para o HijackLoader (aka IDAT Loader) é potencialmente uma tentativa de torná-lo mais furtivo e passar sob o radar das soluções tradicionais de segurança.
As novas técnicas sinalizam tanto uma evolução deliberada e experimental das existentes capacidades de evasão de defesa quanto um aumento da complexidade de análise para os pesquisadores de ameaças."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...