Le téléchargeur HijackLoader devient de plus en plus populaire parmi les acteurs de la menace, c'est pourquoi les analystes de l'équipe ThreatLabZ ont examiné plus en détail ce malware, apparu depuis juillet 2023.
Grâce à son architecture modulaire, le chargeur est capable d'utiliser une variété de modules pour l'injection et l'exécution de code. Basé sur les données de télémétrie Zscaler, HijackLoader présente un potentiel de menace élevé car il peut être utilisé pour charger diverses familles de logiciels malveillants telles que Danabot, SystemBC et RedLine Stealer. Il utilise des modules intégrés pour l'injection de code, qui permettent une flexibilité et s'écartent de l'approche des chargeurs traditionnels.
Techniques d'évasion contre la détection
Le chargeur commence à exécuter une fonction Windows C Runtime (CRT) modifiée. Lors de sa phase d'initialisation, le chargeur détermine si la charge utile finale est intégrée dans le binaire ou s'il doit la télécharger depuis un serveur externe. Pour y parvenir, il contient une configuration cryptée. De plus, un certain nombre de techniques d’évasion sont utilisées pour éviter d’être détecté. Des exemples de ces techniques incluent le chargement dynamique des fonctions de l'API Windows en exploitant une technique de hachage d'API personnalisée ou en effectuant un test de connexion HTTP sur un site Web légitime (par exemple mozilla.org).
Si une connexion ne peut pas être établie, HijackLoader ne poursuivra pas l'exécution et entrera dans une boucle infinie jusqu'à ce qu'une connexion soit établie. En outre, dans un premier temps, l'existence d'un certain nombre de processus en cours de solutions de sécurité est vérifiée. En fonction des processus trouvés, le chargeur exécute différentes fonctions de retard.
HijackLoader vérifie les packages de sécurité existants
HijackLoader localise la charge utile de deuxième étape (c'est-à-dire le module ti) de manière incrémentielle. Pour ce faire, il analyse le bloc de configuration déchiffré qu'il a reçu lors de la phase d'initialisation. Ensuite, HijackLoader trouve l'URL de charge utile cryptée et la déchiffre à l'aide d'une opération XOR au niveau du bit. Il télécharge ensuite la charge utile et vérifie la présence de la signature (contenue dans le bloc de configuration) dans les données.
Si la validation réussit, la charge utile est écrite sur le disque. Le chargeur recherche désormais les blobs chiffrés à l'aide du deuxième marqueur. Chaque marqueur représente le début d'un blob chiffré ainsi que la taille du blob (qui est stockée avant chaque occurrence). De plus, la clé XOR se trouve derrière le décalage du premier blob chiffré. Une fois que tous les blobs chiffrés ont été extraits, ils sont enchaînés et déchiffrés à l’aide de la clé XOR. Enfin, la charge utile déchiffrée est décompressée à l'aide de l'algorithme LZNT1.
Après le décryptage vient le renfort
Différents modules sont ensuite téléchargés. Enfin, la charge utile intégrée est déchiffrée à l’aide d’une opération XOR au niveau du bit, où la clé est dérivée des 200 premiers octets. Le shellcode de HijackLoader procède ensuite à l'injection ou à l'exécution directe de la charge utile déchiffrée. La technique utilisée par le shellcode dépend de divers facteurs, tels que : B. le type de fichier de la charge utile et un « drapeau » stocké dans les paramètres qui indique la méthode d'injection à utiliser.
En résumé, HijackLoader est un chargeur modulaire doté de techniques d'évasion qui offre une variété d'options de chargement pour les charges utiles malveillantes. Même si la qualité du code est médiocre, les chercheurs en sécurité de Zscaler mettent en garde contre le nouveau chargeur compte tenu de sa popularité croissante. Ils s’attendent à des améliorations du code et à une utilisation continue par davantage d’acteurs malveillants, notamment pour combler le vide laissé par Emotet et Qakbot. Le Zscaler Cloud Sandbox détecte HijackLoader sur la base de divers indicateurs et bloque les activités. L'analyse technique complète peut être lue sur le blog ThreatLabZ.
Plus sur Zscaler.com
À propos de Zscaler Zscaler accélère la transformation numérique afin que les clients puissent devenir plus agiles, efficaces, résilients et sécurisés. Zscaler Zero Trust Exchange protège des milliers de clients contre les cyberattaques et la perte de données en connectant en toute sécurité les personnes, les appareils et les applications partout. Le Zero Trust Exchange basé sur SSE est la plus grande plate-forme de sécurité cloud en ligne au monde, distribuée dans plus de 150 centres de données à travers le monde.