Οι δράστες πίσω από ένα κακόβουλο πρόγραμμα φόρτωσης που ονομάζεται HijackLoader, έχουν προσθέσει νέες τεχνικές για την αποφυγή του εντοπισμού, καθώς το κακόβουλο πρόγραμμα συνεχίζει να χρησιμοποιείται όλο και περισσότερο από άλλους δράστες για την παράδοση επιπλέον φορτίων και εργαλείων.

Δείτε επίσης: Ο HijackLoader modular malware loader έχει γίνει πολύ δημοφιλής στους χάκερ

Το HijackLoader καταγράφηκε για πρώτη φορά από το Zscaler ThreatLabz τον Σεπτέμβριο του 2023, ως μέσο για την παράδοση των DanaBot, SystemBC και RedLine Stealer. Επίσης, είναι γνωστό ότι μοιράζεται υψηλό βαθμό ομοιότητας με έναν άλλο loader, γνωστό ως IDAT Loader.

Και οι δύο φορτωτές εκτιμάται ότι λειτουργούν από την ίδια ομάδα κυβερνοεγκληματιών. Τους παρεπόμενους μήνες, ο HijackLoader έχει διαδοθεί μέσω του ClearFake και έχει χρησιμοποιηθεί από τον TA544 (επίσης γνωστός ως Narwhal Spider, Gold Essex και Ursnif Gang) για την παράδοση του Remcos RAT και του SystemBC μέσω μηνυμάτων αναζήτησης.

Η αρχική στιγμή της αλυσίδας επίθεσης πολλαπλών σταδίων είναι ένα εκτελέσιμο αρχείο (“streaming_client.exe“) που ελέγχει για μια ενεργή σύνδεση στο διαδίκτυο και συνεχίζει να κατεβάζει ένα δεύτερου σταδίου configuration από ένα απομακρυσμένο διακομιστή.

Έπειτα, το εκτελέσιμο φορτώνει ένα νόμιμο dynamic-link library (DLL) που καθορίζεται στη διαμόρφωση για να ενεργοποιήσει το shellcode που είναι υπεύθυνο για την εκκίνηση του φορτίου HijackLoader μέσω μιας συνδυασμένης χρήσης τεχνικών process doppelgänging και process hollowing που αυξάνουν την πολυπλοκότητα της ανάλυσης και τις δυνατότητες αποφυγής εντοπισμού.

Δείτε ακόμα: MGM Resorts: Εκτός λειτουργίας σημαντικά συστήματα λόγω “περιστατικού κυβερνοασφάλειας”

Το Heaven’s Gate αναφέρεται σε ένα κόλπο εξαπάτησης που επιτρέπει σε κακόβουλο λογισμικό να αποφεύγει τα προϊόντα ασφαλείας τερματικού σημείου, επικαλούμενο 64-bit κώδικα σε διεργασίες 32-bit στα Windows

, παρακάμπτοντας αποτελεσματικά τα user-mode hooks.

Ένας από τους κύριους τρόπους αποφυγής που παρατηρούνται στα ακολουθούμενα σειριακά επιθέματα HijackLoader είναι η χρήση μηχανισμού εγχύσεως διεργασίας που ονομάζεται “transacted hollowing“, ο οποίος έχει παρατηρηθεί προηγουμένως σε κακόβουλο λογισμικό όπως το banking trojan Osiris.

Δείτε επίσης: Sponsor malware: Ιρανοί χάκερς χρησιμοποιούν backdoor σε 34 οργανισμούς

Πώς λειτουργεί το Loader Malware;

Το Loader Malware είναι ένα είδος κακόβουλου λογισμικού που χρησιμοποιείται για τη φόρτωση και την εκτέλεση άλλων κακόβουλων λογισμικών σε ένα σύστημα χωρίς τη γνώση ή τη συγκατάθεση του χρήστη. Το Loader Malware συνήθως εισέρχεται σε ένα σύστημα μέσω της εκμετάλλευσης ευπαθειών, της χρήσης τεχνικών phishing ή μέσω της μεταφόρτωσης αρχείων που φαίνονται ακίνδυνα αλλά περιέχουν κακόβουλο κώδικα. Μόλις εγκατασταθεί, το Loader Malware αρχίζει να κατεβάζει και να εκτελεί άλλα κακόβουλα λογισμικά, όπως trojan, ransomware ή spyware, εκμεταλλευόμενο τις ευπαθείες του συστήματος.

Το Loader Malware μπορεί επίσης να δημιουργήσει ένα backdoor στο σύστημα, επιτρέποντας στους επιτιθέμενους να αποκτήσουν πρόσβαση και να ελέγξουν το σύστημα απομακρυσμένα. Για να αντιμετωπίσετε το Loader Malware, είναι σημαντικό να διατηρείτε το λογισμικό και το λειτουργικό σύστημα ενημερωμένα, να χρησιμοποιείτε ισχυρό λογισμικό ασφαλείας και να είστε προσεκτικοί με τα αρχεία που κατεβάζετε και τους συνδέσμους στους οποίους κάνετε κλικ.

Πηγή: thehackernews