El descargador HijackLoader se está volviendo cada vez más popular entre los actores de amenazas, por lo que los analistas del equipo de ThreatLabZ han examinado con más detalle este malware, que aparece desde julio de 2023.
Debido a su arquitectura modular, el cargador puede utilizar una variedad de módulos para la inyección y ejecución de código. Según los datos de telemetría de Zscaler, HijackLoader presenta un alto potencial de amenaza, ya que puede usarse para cargar varias familias de malware como Danabot, SystemBC y RedLine Stealer. Utiliza módulos integrados para la inyección de código, que permiten flexibilidad y se desvían del enfoque de los cargadores tradicionales.
Técnicas de evasión contra la detección
El cargador comienza a ejecutar una función modificada de Windows C Runtime (CRT). Durante su fase de inicialización, el cargador determina si la carga útil final está integrada en el binario o si necesita descargarla desde un servidor externo. Para lograrlo, contiene una configuración cifrada. Además, se utilizan una serie de técnicas de evasión para evitar la detección. Ejemplos de estas técnicas incluyen la carga dinámica de funciones API de Windows mediante la explotación de una técnica de hash de API personalizada o la realización de una prueba de conexión HTTP en un sitio web legítimo (por ejemplo, mozilla.org).
Si no se puede establecer una conexión, HijackLoader no continuará la ejecución y entrará en un bucle infinito hasta que se establezca una conexión. Además, en una primera etapa se comprueba la existencia de una serie de procesos en ejecución de soluciones de seguridad. Dependiendo de los procesos que se encuentren, el cargador realiza diferentes funciones de retardo.
HijackLoader busca paquetes de seguridad existentes
HijackLoader localiza la carga útil de la segunda etapa (es decir, el módulo ti) de forma incremental. Para ello, analiza el bloque de configuración descifrado que recibió en la fase de inicialización. Luego, HijackLoader encuentra la URL de carga útil cifrada y la descifra mediante una operación XOR bit a bit. Luego descarga la carga útil y verifica la presencia de la firma (contenida en el bloque de configuración) en los datos.
Si la validación es exitosa, la carga útil se escribe en el disco. Ahora el cargador busca blobs cifrados utilizando el segundo marcador. Cada marcador representa el comienzo de un blob cifrado junto con el tamaño del blob (que se almacena antes de cada aparición). Además, la clave XOR está detrás del desplazamiento del primer blob cifrado. Una vez que se han extraído todos los blobs cifrados, se encadenan y se descifran mediante la clave XOR. Finalmente, la carga útil descifrada se descomprime utilizando el algoritmo LZNT1.
Después del descifrado viene el refuerzo.
Luego se descargan varios módulos. Finalmente, la carga útil incorporada se descifra mediante una operación XOR bit a bit, donde la clave se deriva de los primeros 200 bytes. El código shell de HijackLoader luego procede a inyectar o ejecutar directamente la carga útil descifrada. La técnica que utiliza el shellcode depende de varios factores, como por ejemplo: B. el tipo de archivo de la carga útil y una "bandera" almacenada en la configuración que indica el método de inyección a utilizar.
En resumen, HijackLoader es un cargador modular con técnicas de evasión que ofrece una variedad de opciones de carga para cargas útiles maliciosas. Aunque la calidad del código es mala, los investigadores de seguridad de Zscaler advierten contra el nuevo cargador dada su creciente popularidad. Esperan mejoras en el código y un uso continuo por parte de más actores de amenazas, particularmente para llenar el vacío dejado por Emotet y Qakbot. Zscaler Cloud Sandbox detecta HijackLoader en función de una variedad de indicadores y bloquea las actividades. El análisis técnico completo se puede leer en el blog de ThreatLabZ.
Más en Zscaler.com
Acerca de Zscaler Zscaler acelera la transformación digital para que los clientes puedan volverse más ágiles, eficientes, resilientes y seguros. Zscaler Zero Trust Exchange protege a miles de clientes de ataques cibernéticos y pérdida de datos al conectar personas, dispositivos y aplicaciones de forma segura en cualquier lugar. Zero Trust Exchange basado en SSE es la plataforma de seguridad en la nube en línea más grande del mundo, distribuida en más de 150 centros de datos en todo el mundo.