Испанский пиратский игровой портал PiviGames распространяет сложный вредонос через систему редиректов и многоступенчатый загрузчик HijackLoader

Инцидент привлёк внимание специалистов по информационной безопасности после публикации пользователем Reddit сообщения о предполагаемом взломе, последовавшем за установкой скачанной игры. Как следует из технического отчёта исследователей, первое подозрительное поведение было замечено в ноябре 2025 года. Изначально файл маскировался под установщик на Python, однако при детальном расследовании выяснилось, что конечная цель цепочки загрузки - вредоносный исполняемый файл. Анализ привёл экспертов на сайт PiviGames, где и была обнаружена сложная схема распространения угрозы.

Механизм заражения начинается с хитрой системы редиректов, встроенной в код самой площадки. Несмотря на использование легитимных сервисов, таких как Cloudflare, для создания видимости безопасности, сайт загружает JavaScript-файл "pgedshop.js". Этот скрипт ответственен за перенаправление пользователей. При первом посещении он направляет жертву на домен, имитирующий рекламную сеть, который, в свою очередь, через цепочку переходов приводит на хостинг MediaFire. Там размещён ZIP-архив с паролем, прямо указанным в его имени. Внутри архива, помимо ресурсов, скрывается ключевой элемент - файл "Setup.exe", который является легитимным лаунчером игры, но используется для техники, известной как DLL sideloading (подмена библиотеки).

При запуске лаунчер загружает вредоносную библиотеку "Conduit.Broker.dll", относящуюся к семейству загрузчиков HijackLoader. Этот загрузчик отличается значительной сложностью и модульностью, что позволяет ему эффективно уклоняться от обнаружения. Анализ показал, что вредоносный код был буквально «вшит» в одну из экспортируемых функций легитимной DLL, что вызывает аномалии даже в работе профессиональных дизассемблеров. Для сокрытия своей активности Conduit.Broker.dll использует встроенное разрешение API-функций (inline API resolving), что исключает наличие явных импортов, и уникальный алгоритм хеширования для их поиска в памяти.

Основная полезная нагрузка первого этапа - расшифровка и исполнение shellcode (небольшой фрагмент исполняемого кода) из соседнего файла "Groumcumgag.ic". Этот shellcode загружается в память легитимной системной библиотеки "evr.dll" с помощью техники module stomping (подмены модуля в памяти), что маскирует его выполнение под работу доверенного компонента операционной системы. Задача этой оболочки - сборка и деобфускация главной конфигурации из файла "Zootkumbak.uhp". Конфигурация разбита на множество фрагментов, разбросанных по файлу, и для её восстановления требуется найти все части по специальному шаблону, расшифровать их с помощью XOR и декомпрессировать.

Деобфусцированная конфигурация представляет собой обширную модульную таблицу, содержащую настройки, shellcode, чистые PE-файлы (переносимые исполняемые файлы) и зашифрованную полезную нагрузку. Модульная структура позволяет HijackLoader гибко адаптироваться под среду: проверять наличие процессов антивирусов, обходить контроль учётных записей (UAC), внедрять устойчивость в систему и выбирать один из нескольких сложных методов инъекции финальной полезной нагрузки. Среди этих методов - два варианта Process Hollowing («опустошения» процесса), гибрид Process Doppelgänging (техника, использующая транзакции файловой системы NTFS) и Mapped Section Injection, а также инъекция через вспомогательные модули. Для коммуникации между своими компонентами загрузчик использует временные файлы с зашифрованными данными и специальным образом сгенерированные имена переменных окружения.

С технической точки зрения, код основного модуля HijackLoader, по признанию исследователей, представляет собой чрезвычайно сложный и запутанный «спагетти-код», написанный в виде чистого shellcode. Его анализ требует значительных усилий и терпения, что указывает на высокий уровень разработки. Финальной целью данной цепочки в рассмотренном случае является похититель информации ACRStealer, анализ которого будет представлен в следующей части исследования.

Для специалистов по безопасности данный инцидент служит очередным напоминанием об опасности, исходящей от непроверенных источников ПО, даже если они кажутся легитимными в рамках своей ниши. Рекомендации по противодействию подобным угрозам включают в себя строгий запрет на установку неподписанного или пиратского программного обеспечения в корпоративной среде, использование песочниц для анализа подозрительных файлов, мониторинг сетевой активности на предмет неожиданных обращений к доменам, связанным с рекламными сетями или файлообменниками, а также внедрение решений класса EDR (Endpoint Detection and Response - системы обнаружения и реагирования на конечных точках), способных детектировать сложные техники вроде module stomping и DLL sideloading. Понимание механизмов работы таких загрузчиков, как HijackLoader, критически важно для построения эффективной защиты от современных целевых угроз.

SHA256

• 59202cb766c3034c308728c2e5770a0d074faa110ea981aa88f570eb402540d2
• 5d11218f67cfe78347280b0e1a06ade63c890ac78f970f57b0200ff5be8aa77c
• af2ade19542dde58b424618b928e715ebf61dffb6d8ca9d4b299e532dfa3b763
• fed719608185e516c70a1e801b5c568406ef6e1c292e381ba32825c6add93995