Nova versão do HijackLoader usa evasão avançada de ameaças
Os agentes de ameaças aproveitam a potência do HijackLoader como uma ferramenta robusta para incorporar código malicioso em processos legítimos, facilitando a execução discreta de cargas úteis. Este método permite-lhes contornar a detecção, empregando aplicações confiáveis para realizar ações prejudiciais. Esta complexidade coloca desafios às medidas de segurança para reconhecer e combater eficazmente a ameaça.
Recentemente, pesquisadores de segurança cibernética da CrowdStrike descobriram uma versão do HijackLoader (também conhecido como IDAT Loader) empregando técnicas avançadas para escapar da detecção. Os pesquisadores da CrowdStrike identificaram a evolução do HijackLoader, incorporando novas estratégias de evasão de defesa, como esvaziamento de processos, ativação acionada por tubos e uma combinação de doppelganger de processos. Estes refinamentos aumentam a sua furtividade e tornam-no mais resistente à análise, acompanhados pela descoberta de técnicas adicionais de desengate.
HijackLoader evita detecção
Uma amostra sofisticada do HijackLoader foi revelada pela CrowdStrike, começando com streaming_client.exe. Este exemplo ofusca uma configuração para evitar a análise estática e, usando APIs WinHTTP, testa a conectividade com a Internet acessando https[:]//nginx[.]org. Após a conexão bem-sucedida, ele baixa uma configuração de segundo estágio de um servidor remoto.
Ao obter a configuração do segundo estágio, o malware procura bytes de cabeçalho PNG e um valor mágico, descriptografando usando XOR e descompactando com a API RtlDecompressBuffer. Posteriormente, ele carrega uma DLL legítima do Windows especificada na configuração, gravando o shellcode em sua seção .text para execução. Empregando o Heaven's Gate para contornar os ganchos do modo de usuário, o malware injeta shellcodes adicionais no cmd.exe. O shellcode de terceiro estágio então injeta uma carga útil final, como um beacon Cobalt Strike, em logagent.exe usando esvaziamento de processo.
O HijackLoader emprega várias táticas de evasão, incluindo desvio de gancho do Heaven's Gate e desengate de DLLs monitoradas por ferramentas de segurança. Além disso, utiliza variações de esvaziamento de processo e esvaziamento transacionado para injeção, tornando-se um desafio formidável para detecção.