La nouvelle version de HijackLoader utilise l'évasion avancée des menaces

malware

Les acteurs malveillants exploitent la puissance de HijackLoader en tant qu'outil robuste pour intégrer du code malveillant dans des processus légitimes, facilitant ainsi l'exécution discrète de charges utiles. Cette méthode leur permet de contourner la détection en utilisant des applications fiables pour effectuer des actions nuisibles. Cette complexité pose des défis aux mesures de sécurité pour reconnaître et contrecarrer efficacement la menace.

Récemment, des chercheurs en cybersécurité de CrowdStrike ont découvert une version de HijackLoader (également connue sous le nom d'IDAT Loader) employant des techniques avancées pour échapper à la détection. Les chercheurs de CrowdStrike ont identifié l'évolution de HijackLoader, intégrant de nouvelles stratégies d'évasion de la défense telles que l'évidement des processus, l'activation déclenchée par des tuyaux et une combinaison de doubles processus. Ces raffinements renforcent sa furtivité et le rendent plus résistant à l'analyse, accompagnés de la découverte de techniques de décrochage supplémentaires.

HijackLoader échappe à la détection

Un exemple sophistiqué de HijackLoader a été révélé par CrowdStrike, lancé avec streaming_client.exe. Cet exemple masque une configuration pour échapper à l'analyse statique et, à l'aide des API WinHTTP, teste la connectivité Internet en contactant https[:]//nginx[.]org. Une fois la connexion réussie, il télécharge une configuration de deuxième étape à partir d'un serveur distant.

Après avoir obtenu la configuration de deuxième étape, le malware recherche les octets d'en-tête PNG et une valeur magique, déchiffre à l'aide de XOR et décompresse avec l'API RtlDecompressBuffer. Par la suite, il charge une DLL Windows légitime spécifiée dans la configuration, écrivant le shellcode dans sa section .text pour exécution. En utilisant Heaven's Gate pour contourner les hooks du mode utilisateur, le malware injecte des shellcodes supplémentaires dans cmd.exe. Le shellcode de troisième étape injecte ensuite une charge utile finale, telle qu'une balise Cobalt Strike, dans logagent.exe en utilisant le creusement de processus.

HijackLoader utilise diverses tactiques d'évasion, notamment le contournement du crochet Heaven's Gate et le décrochage des DLL surveillées par des outils de sécurité. De plus, il utilise les variations de processus d’évidement et l’évidement effectué pour l’injection, ce qui en fait un formidable défi pour la détection.

Par Zaib
February 15, 2024
Malware
Français
February 15, 2024
Malware

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 5 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Pinaview est une application publicitaire complète

Il y a 10 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.