Un nouveau chargeur de malware appelé HijackLoader gagne du terrain parmi la communauté des cybercriminels pour fournir diverses charges utiles telles que DanaBotSystemBC et RedLine Stealer.
“Même si HijackLoader ne contient pas de fonctionnalités avancées, il est capable d’utiliser une variété de modules pour l’injection et l’exécution de code car il utilise une architecture modulaire, une fonctionnalité que la plupart des chargeurs n’ont pas”, a déclaré Nikolaos Pantazopoulos, chercheur chez Zscaler ThreatLabz. dit.
Observé pour la première fois par l’entreprise en juillet 2023, le malware utilise un certain nombre de techniques pour passer inaperçu. Cela implique d’utiliser des appels système pour échapper à la surveillance des solutions de sécurité, de surveiller les processus associés aux logiciels de sécurité sur la base d’une liste de blocage intégrée et de retarder l’exécution du code jusqu’à 40 secondes à différentes étapes.
Le vecteur d’accès initial exact utilisé pour infiltrer les cibles n’est actuellement pas connu. Malgré les aspects anti-analyse, le chargeur est intégré dans un module d’instrumentation principal qui facilite l’injection et l’exécution flexibles de code à l’aide de modules intégrés.
La persistance sur l’hôte compromis est obtenue en créant un fichier de raccourci (LNK) dans le dossier de démarrage de Windows et en le pointant vers un service de transfert intelligent en arrière-plan (MORCEAUX) emploi.
“HijackLoader est un chargeur modulaire doté de techniques d’évasion, qui offre une variété d’options de chargement pour les charges utiles malveillantes”, a déclaré Pantazopoulos. “De plus, il ne dispose d’aucune fonctionnalité avancée et la qualité du code est médiocre.”
Cette divulgation intervient alors que Flashpoint a divulgué les détails d’une version mise à jour d’un logiciel malveillant voleur d’informations connu sous le nom de RisePro, qui était auparavant distribué via un service de téléchargement de logiciels malveillants à l’installation (PPI) baptisé PrivateLoader.
“Le vendeur a affirmé dans ses publicités qu’il avait pris les meilleurs aspects de ‘RedLine’ et ‘Vidar’ pour en faire un puissant voleur”, Flashpoint noté. “Et cette fois, le vendeur promet également un nouvel avantage aux utilisateurs de RisePro : les clients hébergent leurs propres panneaux pour garantir que les journaux ne soient pas volés par les vendeurs.”
RisePro, écrit en C++, est conçu pour collecter des informations sensibles sur les machines infectées et les exfiltrer vers un serveur de commande et de contrôle (C&C) sous forme de journaux. Il a été proposé à la vente pour la première fois en décembre 2022.
Cela fait également suite à la découverte d’un nouveau voleur d’informations écrit en Node.js, intégré dans un exécutable et distribué via un modèle malveillant sur le thème du Large Language Model (LLM). Publicités Facebook et de faux sites Web se faisant passer pour l’éditeur vidéo CapCut de ByteDance.
“Lorsque le voleur est exécuté, il exécute sa fonction principale qui vole les cookies et les informations d’identification de plusieurs navigateurs Web basés sur Chromium, puis exfiltre les données vers le serveur C&C et vers le robot Telegram”, a déclaré le chercheur en sécurité Jaromir Horejsi. dit.
“Il abonne également le client au serveur C&C exécutant GraphQL. Lorsque le serveur C&C envoie un message au client, la fonction de vol s’exécutera à nouveau.” Les navigateurs ciblés incluent Google Chrome, Microsoft Edge, Opera (et OperaGX) et Brave.
Bien trop vulnérable : découvrir l’état de la surface d’attaque d’identité
MFA atteinte ? PAM ? Protection du compte de service ? Découvrez à quel point votre organisation est réellement équipée contre les menaces d’identité
C’est la deuxième fois que de faux sites Web CapCut sont observés diffusant des logiciels malveillants voleurs. En mai 2023, Cyble découvert deux chaînes d’attaque différentes qui ont exploité le logiciel comme leurre pour inciter des utilisateurs sans méfiance à exécuter Offx Stealer et RedLine Stealer.
Les développements dressent le tableau d’un en constante évolution écosystème de cybercriminalité, les infections par voleurs agissant comme principal vecteur d’attaque initial utilisé par les acteurs de la menace pour infiltrer les organisations et mener des actions post-exploitation.
Il n’est donc pas surprenant que les acteurs malveillants prennent le train en marche pour créer de nouvelles souches de malwares voleurs, telles que Prysmax, qui intègrent un couteau suisse de fonctionnalités permettant à leurs clients d’optimiser leur portée et leur impact.
“Le malware basé sur Python est emballé à l’aide de Pyinstaller, qui peut être utilisé pour regrouper le code malveillant et toutes ses dépendances dans un seul exécutable”, Cyfirma dit. “Le malware voleur d’informations se concentre sur la désactivation de Windows Defender, la manipulation de ses paramètres et la configuration de sa propre réponse aux menaces.”
“Il tente également de réduire sa traçabilité et de maintenir un pied sur le système compromis. Le malware semble être bien conçu pour le vol et l’exfiltration de données, tout en échappant à la détection par les outils de sécurité ainsi que par les bacs à sable d’analyse dynamique.”