Les chercheurs en cybersécurité ont découvert une version mise à jour d’un chargeur de logiciels malveillants appelée Hijack Loader qui implémente de nouvelles fonctionnalités pour échapper à la détection et établir la persistance sur les systèmes compromis.
“Hijack Loader a publié un nouveau module qui implémente l’usurpation de pile d’appels pour masquer l’origine des appels de fonction (par exemple, API et appels système)”, chercheur Zscaler à la référence Muhammed Irfan VA dit dans une analyse. “Hijack Loader a ajouté un nouveau module pour effectuer des vérifications anti-VM pour détecter les environnements d’analyse des logiciels malveillants et les bacs à sable.”
Hijack Loader, découvert pour la première fois en 2023, offre la possibilité de livrer des charges utiles de deuxième étape telles que les logiciels malveillants du voleur d’informations. Il est également livré avec une variété de modules pour contourner les logiciels de sécurité et injecter du code malveillant. Hijack Loader est suivi par la communauté de cybersécurité plus large sous les noms Doiloader, Ghostpulse, Idat Loader et Shadowladder.
En octobre 2024, Harfanglab and Elastic Security Labs a détaillé les campagnes de chargeur de hiérarchie qui ont mis à profit les certificats de signature de code légitimes ainsi que la fameuse stratégie Clickfix pour distribuer le malware.
La dernière itération du chargeur est livrée avec un certain nombre d’améliorations par rapport à son prédécesseur, la plus notable étant l’ajout de l’usurpation de pile d’appels en tant que tactique d’évasion pour cacher l’origine des appels API et du système, une méthode récemment également adoptée par un autre chargeur de logiciel malveillant connu sous le nom de Coffeoader.
“Cette technique utilise une chaîne de pointeurs EBP pour traverser la pile et cacher la présence d’un appel malveillant dans la pile en remplaçant les cadres de pile réels par des cadres fabriqués”, a déclaré Zscaler.
Comme pour les versions précédentes, le chargeur de détournement exploite la technique de la porte du paradis pour exécuter des systèmes directs 64 bits pour l’injection de processus. D’autres modifications incluent une révision de la liste des processus listes en blocs pour inclure “Avastsvc.exe”, un composant d’Avast Antivirus, pour retarder l’exécution de cinq secondes.
Le malware intègre également deux nouveaux modules, à savoir AntiVM pour détecter les machines virtuelles et modtask pour configurer la persistance via des tâches planifiées.
Les résultats montrent que le chargeur de détournement continue d’être activement maintenu par ses opérateurs dans le but de compliquer l’analyse et la détection.
Shelby Malware utilise GitHub pour la commande et le contrôle
Le développement intervient alors que les laboratoires de sécurité élastiques détaillés d’une nouvelle famille de logiciels malveillants surnomment Shelby qui utilise GitHub pour la commande et le contrôle (C2), l’exfiltration de données et la télécommande. L’activité est suivie en tant que Ref8685.
La chaîne d’attaque implique l’utilisation d’un e-mail de phishing comme point de départ pour distribuer une archive zip contenant un binaire .NET qui est utilisé pour exécuter un chargeur de DLL suivi comme Shelbyloader (“httpService.dll”) via le chargement latéral DLL. Les e-mails ont été livrés à une entreprise de télécommunications basée en Irak grâce à un e-mail de phishing très ciblé envoyé au sein de l’organisation ciblée.
Le chargeur initie ensuite des communications avec GitHub pour C2 pour extraire une valeur spécifique de 48 octets à partir d’un fichier nommé “Licence.txt” dans le référentiel contrôlé par les attaquants. La valeur est ensuite utilisée pour générer une clé de décryptage AES et déchiffrer la charge utile de porte dérobée principale (“httpapi.dll”) et le charger en mémoire sans laisser des artefacts détectables sur le disque.
“Shelbyloader utilise des techniques de détection de bac à sable pour identifier les environnements virtualisés ou surveillés”, élastique dit. “Une fois exécuté, il renvoie les résultats à C2. Ces résultats sont emballés sous forme de fichiers journaux, détaillant si chaque méthode de détection a identifié avec succès un environnement de bac à sable.”
La porte dérobée ShelBYC2, pour sa part, analyse les commandes répertoriées dans un autre fichier nommé “Command.txt” pour télécharger / télécharger des fichiers depuis / vers un référentiel GitHub, charger un binaire .NET Réfléchit et exécuter les commandes PowerShell. Ce qui est notable ici, c’est que la communication C2 se produit via des engagements dans le référentiel privé en utilisant un jeton d’accès personnel (PAT).
“La façon dont le malware est configuré signifie que toute personne avec le PAT (Token d’accès personnel) peut théoriquement récupérer les commandes envoyées par l’attaquant et les sorties de commande d’accès de n’importe quelle machine victime”, a indiqué la société. “C’est parce que le jeton PAT est intégré dans le binaire et peut être utilisé par quiconque l’obtient.”
Emmenhtal répartit SmokeLoader via des fichiers 7-zip
Des e-mails de phishing portant des leurres sur le thème du paiement ont également été observés pour fournir une famille de chargeur de logiciels malveillants, nommé Emmenhtal Loader (aka Peaklight), qui agit comme un conduit pour déployer un autre malware connu sous le nom de smokeloder.
“Une technique notable observée dans cet échantillon de smokeloader est l’utilisation de .NET Reactor, un outil de protection commercial .NET utilisé pour l’obscurcissement et l’emballage”, GDATA dit.
“Alors que SmokeLoader a historiquement exploité des emballeurs comme THIMA, ENIGMA Protector et Custom Crypters, l’utilisation du réacteur .NET s’aligne sur les tendances observées dans d’autres familles de logiciels malveillants, en particulier les voleurs et les chargeurs, en raison de ses forts mécanismes anti-analyse.”






