HijackLoader, также известный как IDAT Loader, является модульным загрузчиком вредоносного ПО, который был обнаружен в 2023 году. Он отличается от большинства загрузчиков благодаря своей модульной архитектуре. В недавнем исследовании был проанализирован образец HijackLoader, в котором были обновлены методы уклонения. Вредоносная программа стала более скрытной и способна оставаться незамеченной в течение длительного времени. HijackLoader включает новые модули для обнаружения антивирусной программы Windows Defender, обхода контроля учетных записей пользователей (UAC), обхода встроенных API-хуков и использования процесса hollowing.
Одним из особенностей доставки HijackLoader является использование PNG-изображения, которое расшифровывается и анализируется для загрузки следующего этапа атаки. HijackLoader используется для распространения нескольких семейств вредоносных программ, таких как Amadey, Lumma Stealer, Racoon Stealer v2 и Remcos RAT.
Технический анализ обнаружил новые изменения в HijackLoader. Первый этап загрузчика состоит из расшифровки и декомпрессии модулей HijackLoader, включая второй этап. Загрузчик разрешает API динамически с использованием алгоритма хэширования SDBM и проверяет наличие интернет-соединения. После этого HijackLoader расшифровывает встроенный шелл-код и устанавливает разрешение на выполнение.
Дополнительные функции HijackLoader включают динамическое разрешение API, проверку процессов в блок-листе и обход хуков пользовательского режима с использованием Heaven's Gate. Шелл-код использует API RtlGetNativeSystemInfo для проверки процессов в блок-листе, преобразуя их имена в строчные буквы и сравнивая со значениями в блок-листе. Загрузчик также использует два метода для загрузки второго этапа вредоносной программы.
В целом, HijackLoader является сложным и скрытным модульным загрузчиком вредоносного ПО, который постоянно обновляется для уклонения определения и распространения различных семейств вредоносных программ.
Indicators of Compromise
URLs
- http://discussiowardder.website/api
SHA256
- 1fbf01b3cb97fda61a065891f03dca7ed9187a4c1d0e8c5f24ef0001884a54da
- 56fd2541a36680249ec670d07a5682d2ef5a343d1feccbcf2c3da86bd546af85
- 7a8db5d75ca30164236d2474a4719046a7814a4411cf703ffb702bf6319939d7
- 9b15cb2782f953090caf76efe974c4ef8a5f28df3dbb3eff135d44306d80c29c
- c215c0838b1f8081a11ff3050d12fcfe67f14442ed2e18398f0c26c47931df44
- cf42af2bdcec387df84ba7f8467bbcdad9719df2c524b6c9b7fffa55cfdc8844
- d95e82392d720911f7eb5d8856b8ccd2427e51645975cdf8081560c2f6967ffb
- e0a4f1c878f20e70143b358ddaa28242bac56be709b5702f3ad656341c54fb76
- f37b158b3b3c6ef9f6fe08d0056915fc7e5a220d1dabb6a2b62364ae54dca0f1
- fcadcee5388fa2e6d4061c7621bf268cb3d156cb879314fa2f518d15f5fa2aa2