Исследователи из компании Zscaler опубликовали отчет об эволюции загрузчика вредоносного ПО HijackLoader и его новых тактиках уклонения.
HijackLoader, также известный как IDAT Loader, появился в 2023 году как загрузчик вредоносного ПО, оснащенный универсальными модулями для внедрения и выполнения кода. HijackLoader имеет модульную архитектуру, что отличает его от типичных загрузчиков.
Исследователи Zscaler проанализировали новый вариант HijackLoader, который отличается усовершенствованными методами уклонения. Эти усовершенствования направлены на обеспечение скрытности вредоносной программы, продлевая ее способность уклоняться от обнаружения. В последней версии HijackLoader появились модули для обхода антивируса Windows Defender, обхода системы контроля учетных записей пользователей (UAC), обхода встроенных API-хуков, обычно используемых средствами безопасности, а также для использования процесса hollowing.
Механизм доставки HijackLoader включает использование PNG-изображения, которое расшифровывается и анализируется для загрузки последующего этапа атаки. HijackLoader был замечен в качестве механизма доставки для различных семейств вредоносных программ, включая Amadey, Lumma Stealer, Racoon Stealer v2 и Remcos RAT.
Indicators of Compromise
URLs
- http://discussiowardder.website/api
SHA256
- 1fbf01b3cb97fda61a065891f03dca7ed9187a4c1d0e8c5f24ef0001884a54da
- 56fd2541a36680249ec670d07a5682d2ef5a343d1feccbcf2c3da86bd546af85
- 7a8db5d75ca30164236d2474a4719046a7814a4411cf703ffb702bf6319939d7
- 9b15cb2782f953090caf76efe974c4ef8a5f28df3dbb3eff135d44306d80c29c
- cf42af2bdcec387df84ba7f8467bbcdad9719df2c524b6c9b7fffa55cfdc8844
- d95e82392d720911f7eb5d8856b8ccd2427e51645975cdf8081560c2f6967ffb
- e0a4f1c878f20e70143b358ddaa28242bac56be709b5702f3ad656341c54fb76
- f37b158b3b3c6ef9f6fe08d0056915fc7e5a220d1dabb6a2b62364ae54dca0f1
- fcadcee5388fa2e6d4061c7621bf268cb3d156cb879314fa2f518d15f5fa2aa2