O downloader HijackLoader está se tornando cada vez mais popular entre os agentes de ameaças, e é por isso que os analistas da equipe ThreatLabZ examinaram agora esse malware, que tem aparecido desde julho de 2023, com mais detalhes.
Devido à sua arquitetura modular, o carregador é capaz de usar uma variedade de módulos para injeção e execução de código. Com base nos dados de telemetria do Zscaler, o HijackLoader representa um alto potencial de ameaça, pois pode ser usado para carregar várias famílias de malware, como Danabot, SystemBC e RedLine Stealer. Utiliza módulos embarcados para injeção de código, que permitem flexibilidade e fogem da abordagem dos carregadores tradicionais.
Técnicas de Evasão Contra Detecção
O carregador começa a executar uma função modificada do Windows C Runtime (CRT). Durante a fase de inicialização, o carregador determina se a carga final está incorporada no binário ou se precisa baixá-la de um servidor externo. Para conseguir isso, ele contém uma configuração criptografada. Além disso, uma série de técnicas de evasão são usadas para evitar a detecção. Exemplos dessas técnicas incluem o carregamento dinâmico de funções da API do Windows, explorando uma técnica de hashing de API personalizada ou realizando um teste de conexão HTTP em um site legítimo (por exemplo, mozilla.org).
Se uma conexão não puder ser estabelecida, o HijackLoader não continuará a execução e entrará em um loop infinito até que uma conexão seja estabelecida. Além disso, numa primeira fase, é verificada a existência de vários processos em execução de soluções de segurança. Dependendo de quais processos são encontrados, o carregador executa diferentes funções de atraso.
HijackLoader verifica pacotes de segurança existentes
HijackLoader localiza a carga útil do segundo estágio (ou seja, o módulo ti) de forma incremental. Para isso, analisa o bloco de configuração descriptografado que recebeu na fase de inicialização. Em seguida, o HijackLoader encontra o URL da carga criptografada e o descriptografa usando uma operação XOR bit a bit. Em seguida, ele baixa a carga útil e verifica a presença da assinatura (contida no bloco de configuração) nos dados.
Se a validação for bem-sucedida, a carga será gravada no disco. Agora o carregador procura blobs criptografados usando o segundo marcador. Cada marcador representa o início de um blob criptografado junto com o tamanho do blob (que é armazenado antes de cada ocorrência). Além disso, a chave XOR está por trás do deslocamento do primeiro blob criptografado. Depois que todos os blobs criptografados forem extraídos, eles serão encadeados e descriptografados usando a chave XOR. Finalmente, a carga descriptografada é descompactada usando o algoritmo LZNT1.
Após a descriptografia vem o reforço
Vários módulos são então baixados. Finalmente, a carga incorporada é descriptografada usando uma operação XOR bit a bit, onde a chave é derivada dos primeiros 200 bytes. O shellcode do HijackLoader então injeta ou executa diretamente a carga descriptografada. A técnica que o shellcode usa depende de vários fatores, como: B. o tipo de arquivo da carga útil e um “sinalizador” armazenado nas configurações que indica o método de injeção a ser usado.
Em resumo, o HijackLoader é um carregador modular com técnicas de evasão que oferece uma variedade de opções de carregamento para cargas maliciosas. Mesmo que a qualidade do código seja baixa, os pesquisadores de segurança da Zscaler alertam contra o novo carregador devido à sua crescente popularidade. Eles esperam melhorias no código e uso contínuo por mais agentes de ameaças, especialmente para preencher a lacuna deixada pelo Emotet e pelo Qakbot. O Zscaler Cloud Sandbox detecta o HijackLoader com base em uma variedade de indicadores e bloqueia as atividades. A análise técnica completa pode ser lida no blog ThreatLabZ.
Mais em Zscaler.com
Sobre Zscaler O Zscaler acelera a transformação digital para que os clientes possam se tornar mais ágeis, eficientes, resilientes e seguros. O Zscaler Zero Trust Exchange protege milhares de clientes contra ataques cibernéticos e perda de dados, conectando com segurança pessoas, dispositivos e aplicativos em qualquer lugar. O Zero Trust Exchange baseado em SSE é a maior plataforma de segurança em nuvem em linha do mundo, distribuída em mais de 150 data centers em todo o mundo.