Novo HijackLoader, um Carregador Modular de Malware, Causando Ondas no Mundo do Cibercrime
11 de Setembro de 2023

Um novo carregador de malware chamado HijackLoader está ganhando popularidade entre a comunidade de cybercriminosos para entregar vários payloads, como DanaBot, SystemBC e RedLine Stealer.

"Apesar do HijackLoader não conter recursos avançados, ele é capaz de usar uma variedade de módulos para injeção e execução de código, pois usa uma arquitetura modular, um recurso que a maioria dos carregadores não possui", disse Nikolaos Pantazopoulos, pesquisador da Zscaler ThreatLabz.

Observado pela primeira vez pela empresa em julho de 2023, o malware emprega várias técnicas para passar despercebido.

Isso inclui o uso de syscalls para evitar a monitoração de soluções de segurança, monitoramento de processos associados ao software de segurança com base em uma lista de bloqueio embutida, e adiamento da execução do código em até 40 segundos em diferentes estágios.

O vetor de acesso inicial exato usado para infiltrar os alvos atualmente não é conhecido.

Apesar dos aspectos anti-análise, o carregador inclui um módulo principal de instrumentação que facilita a injeção flexível de código e execução usando módulos embutidos.

A persistência no host comprometido é obtida pela criação de um arquivo de atalho (LNK) na pasta de inicialização do Windows e apontando-o para um serviço de transferência inteligente de segundo plano (BITS).

"HijackLoader é um carregador modular com técnicas de evasão, que oferece uma variedade de opções de carregamento para payloads maliciosos", disse Pantazopoulos.

"Além disso, ele não possui nenhum recurso avançado e a qualidade do código é ruim."

A revelação acontece quando a Flashpoint divulgou detalhes de uma versão atualizada de um malware que rouba informações conhecido como RisePro, que foi distribuído anteriormente por meio de um serviço de download de malware pay-per-install (PPI) chamado PrivateLoader.

"O vendedor afirmou em seus anúncios que eles tinham retirado os melhores aspectos do 'RedLine' e do 'Vidar' para criar um ladrão poderoso", observou o Flashpoint.

"E desta vez, o vendedor também promete uma nova vantagem para os usuários do RisePro: os clientes hospedam seus próprios painéis para garantir que os logs não sejam roubados pelos vendedores."

RisePro, escrito em C++, é projetado para colher informações sensíveis em máquinas infectadas e exfiltrá-las para um servidor de comando e controle (C&C) na forma de logs.

Foi oferecido pela primeira vez para venda em dezembro de 2022.

Ele também segue a descoberta de um novo ladrão de informações escrito em Node.js que é empacotado em um executável e distribuído por meio de anúncios maliciosos no Facebook e sites falsos que se passam pelo editor de vídeo CapCut da ByteDance.

"Quando o ladrão é executado, ele executa sua principal função que rouba cookies e credenciais de vários navegadores baseados em Chromium, e depois exfiltra os dados para o servidor C&C e para o bot Telegram", disse o pesquisador de segurança Jaromir Horejsi.

"Ele também se inscreve no servidor C&C que executa o GraphQL.

Quando o servidor C&C envia uma mensagem para o cliente, a função de roubo será executada novamente." Os navegadores alvo incluem Google Chrome, Microsoft Edge, Opera (e OperaGX) e Brave.

Essa é a segunda vez que sites falsos CapCut são observados distribuindo malware ladrão.

Em maio de 2023, a Cyble descobriu duas cadeias de ataque diferentes que utilizavam o software como isca para enganar usuários desavisados ​​em executar Offx Stealer e RedLine Stealer.

Os desenvolvimentos pintam um quadro de um ecossistema de cibercrime em constante evolução, com infecções por ladrões atuando como um vetor de ataque inicial primário usado por atores de ameaças para infiltrar organizações e realizar ações pós-exploração.

Portanto, não é surpreendente que os atores de ameaças estejam aderindo à onda para gerar novas cepas de malware ladrão, como o Prysmax, que incorpora um canivete suíço de funcionalidades que permitem a seus clientes maximizar seu alcance e impacto.

"O malware baseado em Python é compactado usando o Pyinstaller, que pode ser usado para agrupar o código malicioso e todas as suas dependências em um único executável", disse a Cyfirma.

"O malware que rouba informações está focado em desabilitar o Windows Defender, manipulando suas configurações e configurando sua própria resposta a ameaças." "Ele também tenta reduzir sua rastreabilidade e manter uma posição no sistema comprometido.

O malware parece ser bem projetado para roubo de dados e exfiltração, enquanto evita a detecção por ferramentas de segurança, bem como as caixas de análise dinâmica."

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...