Il downloader HijackLoader sta diventando sempre più popolare tra gli autori di minacce, motivo per cui gli analisti del team ThreatLabZ hanno ora esaminato più in dettaglio questo malware, apparso dal luglio 2023.
Grazie alla sua architettura modulare, il caricatore è in grado di utilizzare una varietà di moduli per l'inserimento e l'esecuzione del codice. Sulla base dei dati di telemetria Zscaler, HijackLoader rappresenta un elevato potenziale di minaccia in quanto può essere utilizzato per caricare varie famiglie di malware come Danabot, SystemBC e RedLine Stealer. Utilizza moduli incorporati per l'iniezione di codice, che consentono flessibilità e si discostano dall'approccio dei caricatori tradizionali.
Tecniche di evasione contro il rilevamento
Il caricatore inizia a eseguire una funzione modificata di Windows C Runtime (CRT). Durante la fase di inizializzazione, il caricatore determina se il payload finale è incorporato nel binario o se deve scaricarlo da un server esterno. Per raggiungere questo obiettivo, contiene una configurazione crittografata. Inoltre, vengono utilizzate una serie di tecniche di evasione per evitare il rilevamento. Esempi di queste tecniche includono il caricamento dinamico delle funzioni API di Windows sfruttando una tecnica di hashing API personalizzata o eseguendo un test di connessione HTTP contro un sito Web legittimo (ad esempio mozilla.org).
Se non è possibile stabilire una connessione, HijackLoader non continuerà l'esecuzione ed entrerà in un ciclo infinito finché non verrà stabilita una connessione. Inoltre, nella prima fase, viene verificata l'esistenza di una serie di processi in esecuzione di soluzioni di sicurezza. A seconda dei processi trovati, il caricatore esegue diverse funzioni di ritardo.
HijackLoader verifica la presenza di pacchetti di sicurezza esistenti
HijackLoader localizza il payload della seconda fase (ovvero il modulo ti) in modo incrementale. Per fare ciò analizza il blocco di configurazione decrittografato che ha ricevuto in fase di inizializzazione. Quindi HijackLoader trova l'URL del payload crittografato e lo decrittografa utilizzando un'operazione XOR bit a bit. Successivamente scarica il payload e verifica la presenza della firma (contenuta nel blocco di configurazione) nei dati.
Se la convalida ha esito positivo, il payload viene scritto su disco. Ora il caricatore cerca i BLOB crittografati utilizzando il secondo marcatore. Ogni indicatore rappresenta l'inizio di un BLOB crittografato insieme alla dimensione del BLOB (che viene archiviato prima di ogni occorrenza). Inoltre, la chiave XOR si trova dietro l'offset del primo BLOB crittografato. Una volta estratti tutti i BLOB crittografati, vengono concatenati e decrittografati utilizzando la chiave XOR. Infine, il payload decriptato viene decompresso utilizzando l'algoritmo LZNT1.
Dopo la decrittazione arriva il rinforzo
Vengono quindi scaricati vari moduli. Infine, il payload incorporato viene decrittografato utilizzando un'operazione XOR bit a bit, in cui la chiave viene derivata dai primi 200 byte. Lo shellcode di HijackLoader procede quindi a iniettare o eseguire direttamente il payload decrittografato. La tecnica utilizzata dallo shellcode dipende da vari fattori, come ad esempio: B. il tipo di file del payload e un “flag” memorizzato nelle impostazioni che indica il metodo di iniezione da utilizzare.
In sintesi, HijackLoader è un caricatore modulare con tecniche di evasione che offre una varietà di opzioni di caricamento per payload dannosi. Anche se la qualità del codice è scarsa, i ricercatori di sicurezza di Zscaler mettono in guardia dal nuovo caricatore data la sua crescente popolarità. Si aspettano miglioramenti del codice e un utilizzo continuato da parte di più autori di minacce, in particolare per colmare il divario lasciato da Emotet e Qakbot. Zscaler Cloud Sandbox rileva HijackLoader in base a una varietà di indicatori e blocca le attività. L'analisi tecnica completa può essere letta sul blog ThreatLabZ.
Altro su Zscaler.com
A proposito di Zscaler Zscaler accelera la trasformazione digitale in modo che i clienti possano diventare più agili, efficienti, resilienti e sicuri. Zscaler Zero Trust Exchange protegge migliaia di clienti da attacchi informatici e perdita di dati collegando in modo sicuro persone, dispositivi e applicazioni ovunque. Zero Trust Exchange basato su SSE è la più grande piattaforma di sicurezza cloud in linea al mondo, distribuita in oltre 150 data center in tutto il mondo.