Los actores de amenazas detrás de un cargador de malware llamado Secuestrador han agregado nuevas técnicas para la evasión de defensa, ya que otros actores de amenazas continúan utilizando cada vez más el malware para entregar cargas útiles y herramientas adicionales.
«El desarrollador de malware utilizó una técnica de vaciado de procesos estándar junto con un disparador adicional que se activaba cuando el proceso principal escribía en una tubería», dijeron los investigadores de CrowdStrike, Donato Onofri y Emanuele Calvelli. dicho en un análisis del miércoles. «Este nuevo enfoque tiene el potencial de hacer que la evasión de la defensa sea más sigilosa».
Zscaler ThreatLabz documentó por primera vez que HijackLoader se había utilizado como conducto para entregar DanaBot, SystemBC y RedLine Stealer. También se sabe que comparte un alto grado de similitud con otro cargador conocido como IDAT Loader.
Se considera que ambos cargadores son operados por el mismo grupo de ciberdelincuencia. En los meses intermedios, HijackLoader se propagó a través de ClearFake y fue utilizado por TA544 (también conocido como Narwhal Spider, Gold Essex y Ursnif Gang) para entregar Remcos RAT y SystemBC a través de mensajes de phishing.
«Piense en los cargadores como lobos con piel de oveja. Su propósito es colarse, introducir y ejecutar amenazas y herramientas más sofisticadas», dijo Liviu Arsene, director de investigación e informes de amenazas de CrowdStrike, en un comunicado compartido con The Hacker News.
«Esta variante reciente de HijackLoader (también conocido como IDAT Loader) intensifica su juego de sigilo agregando y experimentando con nuevas técnicas. Esto es similar a mejorar su disfraz, haciéndolo más sigiloso, más complejo y más difícil de analizar. En esencia, Estamos refinando su camuflaje digital.»
El punto de partida de la cadena de ataque de varias etapas es un ejecutable («streaming_client.exe») que busca una conexión a Internet activa y procede a descargar una configuración de segunda etapa desde un servidor remoto.
Luego, el ejecutable carga una biblioteca de vínculos dinámicos (DLL) legítima especificada en la configuración para activar el código shell responsable de iniciar la carga útil de HijackLoader mediante una combinación de proceso de duplicación y proceso de vaciado técnicas que aumentan la complejidad del análisis y la capacidades de evasión de defensa.
«El código shell independiente de la posición de la segunda etapa de HijackLoader luego realiza algunas actividades de evasión para evitar los ganchos del modo de usuario usando La puerta del cielo e inyecta el código shell posterior en cmd.exe», dijeron los investigadores.
«La inyección del código shell de tercera etapa se logra a través de una variación del proceso hueco que da como resultado un mshtml.dll hueco inyectado en el proceso hijo cmd.exe recién generado».
La puerta del cielo se refiere a un truco sigiloso que permite que el software malicioso evadir los productos de seguridad de terminales al invocar código de 64 bits en procesos de 32 bits en Windows, evitando efectivamente los ganchos del modo de usuario.
Una de las técnicas de evasión clave observadas en las secuencias de ataque de HijackLoader es el uso de un mecanismo de inyección de procesos llamado vaciado negociadoque se ha observado previamente en malware como el Troyano bancario Osiris.
«Los cargadores están destinados a actuar como plataformas de lanzamiento sigilosas para que los adversarios introduzcan y ejecuten malware y herramientas más sofisticadas sin quemar sus activos en las etapas iniciales», dijo Arsene.
«Invertir en nuevas capacidades de evasión de defensa para HijackLoader (también conocido como IDAT Loader) es potencialmente un intento de hacerlo más sigiloso y pasar desapercibido para las soluciones de seguridad tradicionales. Las nuevas técnicas señalan una evolución tanto deliberada como experimental de las capacidades de evasión de defensa existentes al mismo tiempo que aumentando la complejidad del análisis para los investigadores de amenazas».