Эксперты раскрыли детали сложной цепочки заражения HijackLoader через пиратские сайты

Обманчивая безопасность

Пользователи пиратских форумов часто утверждают, что инструменты вроде uBlock Origin гарантируют защиту при скачивании взломанного ПО. Практическая проверка опровергла эту теорию: при попытке загрузки игры с Dodi Repacks с активным adblocker’ом система перенаправляла через серию доменов (zovo[.]ink → downf[.]lol), завершаясь архивом на MEGA. Внутри обнаружился исполняемый файл DivXDownloadManager.dll размером 500+ МБ - тактика, затрудняющая анализ в песочницах.

Многослойная деобфускация

После обработки утилитой Debloat выявилась истинная структура DLL:

• В точке входа _DllMainCRTStartup обнаружен скрытый вызов, расшифровывающий конфигурацию из файла quintillionth.ppt.
• Использование SIMD-инструкций для блочного декодирования данных.
• Техника module stomping: перезапись кода shell32.dll для внедрения второго этапа шелл-кода.

На второй стадии загрузчик:

• Сканирует процессы на наличие хешей антивирусов (Kaspersky, Avast, Windows Defender).
• Читает файл paraffin.html, где данные фрагментированы по шаблону ????IDAT и зашифрованы XOR-ключом.
• Собирает финальный payload через поиск чанков, применяет LZNT1-декомпрессию.

Антиотладочные механизмы

Модуль ti реализует продвинутые техники противодействия анализу:

• Спуфинг стека: Замена возвратных адресов случайными инструкциями из shdovcw.dll.
• Ручной маппинг ntdll: Сравнение .text-секций для обнаружения хуков.
• 40+ модулей: Включая ANTIVM с проверками:
• Объем ОЗУ (>4 ГБ).
• Имена пользователей (блокировка "george").
• Гипервизоры через CPUID.

Распространение и инъекция

HijackLoader использует легитимные процессы для финальной стадии:

• Создает LNK-ярлыки или задачи через BITS Transfer.
• Внедряется в choice.exe, эксплуатируя его ожидание ввода.
• При обнаружении AVG/Avast деплоит поддельные файлы (Info-ZIP, AutoIT3).
• Для Windows Defender добавляет исключения в сканирование через PowerShell.

Финальная полезная нагрузка (чаще LummaC2) запускается через модуль rshell или ESAL. В 2023 году загрузчик доставлял Remcos, Vidar, Redline Stealer и XMRig.

Масштабы угрозы

Атаки не ограничены Dodi Repacks. Злоумышленники:

• Размещают рекламу взломанного ПО в плейлистах TIDAL.
• Используют домены вроде up-community[.]net и weeklyuploads[.]click.
• Публикуют вредоносные VHD-файлы в архивах на MEGA.

Блокировка доменов (например, directsnap.click) не решает проблему - операторы оперативно меняют инфраструктуру.

Заключение

HijackLoader остается активно развивающейся угрозой с ежемесячными обновлениями модулей. Его устойчивость к adblockers и техники обхода EDR требуют пересмотра подходов к безопасности. Эксперты настоятельно рекомендуют избегать пиратских ресурсов: даже "проверенные" площадки становятся векторами атак.

Domains

• directsnap.click
• readyf1.lol
• weeklyuploads.click

SHA256

• 04677c4c70d9f61f011b0ac744f2dc5353ac0d1b4aa5d9ec37a291968d2a0b79
• 0d24d4e72b7b22017c6fde7b1a2dc1a1e1ad63b97b5811dc02c221aa68d9d00c
• 5649f7535e388572096dddcf3c50a66c51d189f31dc7769470e9a78c5b2ec34c
• 8ef22b49af1d7e67657bcfac9d02dd1bfcc1d3ae20d1bbcb1a60c99d023d18d5
• e575a3a2fbf1916d3afb0a1abfd8479c02b5b677550883f9a5d0e22ee738030a
• eecdea0f63f4e54d8efb542700f37da98865c0735d66d8ecf7e5e81aa64cff20