Les acteurs de la menace derrière un malware de chargement appelé HijackLoader ont ajouté de nouvelles techniques pour contourner la défense, car les logiciels malveillants continuent d’être de plus en plus utilisés par d’autres acteurs malveillants pour fournir des charges utiles et des outils supplémentaires.
« Le développeur du malware a utilisé une technique de creux de processus standard couplée à un déclencheur supplémentaire activé par le processus parent écrivant dans un tube », ont déclaré Donato Onofri et Emanuele Calvelli, chercheurs de CrowdStrike. dit dans une analyse de mercredi. « Cette nouvelle approche a le potentiel de rendre l’évasion de la défense plus furtive. »
HijackLoader a été documenté pour la première fois par Zscaler ThreatLabz en septembre 2023 comme ayant été utilisé comme canal pour fournir DanaBot, SystemBC et RedLine Stealer. Il est également connu pour partager un haut degré de similitude avec un autre chargeur appelé IDAT Loader.
Les deux chargeurs sont considérés comme étant exploités par le même groupe de cybercriminalité. Dans les mois qui ont suivi, HijackLoader s’est propagé via ClearFake et utilisé par TA544 (alias Narwhal Spider, Gold Essex et Ursnif Gang) pour transmettre Remcos RAT et SystemBC via des messages de phishing.
« Pensez aux chargeurs comme des loups déguisés en mouton. Leur but est de se faufiler, d’introduire et d’exécuter des menaces et des outils plus sophistiqués », a déclaré Liviu Arsene, directeur de la recherche sur les menaces et du reporting chez CrowdStrike, dans une déclaration partagée avec The Hacker News.
« Cette variante récente de HijackLoader (alias IDAT Loader) intensifie son jeu de furtivité en ajoutant et en expérimentant de nouvelles techniques. Cela revient à améliorer son déguisement, le rendant plus furtif, plus complexe et plus difficile à analyser. En substance, ils » re peaufiner leur camouflage numérique. »
Le point de départ de la chaîne d’attaque en plusieurs étapes est un exécutable (« streaming_client.exe ») qui vérifie une connexion Internet active et procède au téléchargement d’une configuration de deuxième étape à partir d’un serveur distant.
L’exécutable charge ensuite une bibliothèque de liens dynamiques (DLL) légitime spécifiée dans la configuration pour activer le shellcode responsable du lancement de la charge utile HijackLoader via une combinaison de processus double et processus de creusement techniques qui augmentent la complexité de l’analyse et la capacités d’évasion de la défense.
« Le shellcode de deuxième étape de HijackLoader, indépendant de la position, effectue ensuite certaines activités d’évasion pour contourner les hooks du mode utilisateur à l’aide de La porte du Paradis et injecte le shellcode suivant dans cmd.exe », ont déclaré les chercheurs.
« L’injection du shellcode de troisième étape est réalisée via une variation du processus de creusement qui entraîne l’injection d’un mshtml.dll creux dans le processus enfant cmd.exe nouvellement généré. »
La porte du Paradis fait référence à un truc furtif qui permet à des logiciels malveillants de échapper aux produits de sécurité des points finaux en appelant du code 64 bits dans des processus 32 bits sous Windows, contournant ainsi efficacement les hooks du mode utilisateur.
L’une des principales techniques d’évasion observées dans les séquences d’attaque de HijackLoader est l’utilisation d’un mécanisme d’injection de processus appelé évidement effectuéce qui a déjà été observé dans des logiciels malveillants tels que Cheval de Troie bancaire Osiris.
« Les chargeurs sont censés servir de plates-formes de lancement furtives permettant aux adversaires d’introduire et d’exécuter des logiciels malveillants et des outils plus sophistiqués sans brûler leurs actifs dans les étapes initiales », a déclaré Arsène.
« Investir dans de nouvelles capacités d’évasion de défense pour HijackLoader (alias IDAT Loader) est potentiellement une tentative de le rendre plus furtif et de passer sous le radar des solutions de sécurité traditionnelles. Les nouvelles techniques signalent à la fois une évolution délibérée et expérimentale des capacités d’évasion de défense existantes tout en augmentant la complexité de l’analyse pour les chercheurs sur les menaces.