HijackLoader - новый загрузчик вредоносных программ, популярность которого выросла за последние несколько месяцев. Несмотря на то что HijackLoader не содержит расширенных возможностей, он способен использовать различные модули для инъекции и выполнения кода, поскольку использует модульную архитектуру, которой не обладает большинство загрузчиков.
По данным телеметрии, Zscaler ThreatLabz наблюдали, как HijackLoader используется для загрузки различных семейств вредоносных программ, таких как Danabot, SystemBC и RedLine Stealer.
- HijackLoader - это новый загрузчик вредоносных программ, впервые замеченный ThreatLabz в июле 2023 года.
- Этот загрузчик используется для распространения множества семейств вредоносных программ, включая Danabot, SystemBC и RedLine Stealer, что повышает его потенциальную угрозу.
- HijackLoader использует системные вызовы для обхода мониторинга со стороны решений безопасности, обнаруживает определенные процессы на основе встроенного блок-листа и задерживает выполнение кода на различных этапах.
- Вредоносная программа использует встроенные модули, обеспечивающие гибкую инъекцию и исполнение кода, что не характерно для традиционных загрузчиков.
Indicators of Compromise
URLs
- https://geupdate-service.bond/img/3344379399.png
- https://www.4sync.com/web/directDownload/KFtZys
SHA256
- 04c0a4f3b5f787a0c9fa8f6d8ef19e01097185dd1f2ba40ae4bbbeca9c3a1c72
- 693cace37b4b6fed2ca67906c7a4b1c11273110561a207a222aa4e62fb4a184a
- 6b1621bded06b082f83c731319c9deb2fdf751a4cec1d1b2b00ab9e75f4c29ca
- 7bd39678ac3452bf55359b44c5192b79412ce61a82cd72eef88f91aba5792ee6
- e67790b394f5238908fcc326a9db940b200d9b50cbb45f0bfa94038db50beeae