Новая кампания фишинга в Латинской Америке использует HijackLoader для распространения PureHVNC

Загрузчик HijackLoader, используемый в этой кампании, инициирует цепочку заражения, ведущую к внедрению трояна удаленного доступа PureHVNC. Аналитики отмечают, что ранее HijackLoader редко применялся в атаках на пользователей в Латинской Америке, а доставка PureHVNC через этот загрузчик к испаноязычной аудитории ранее не наблюдалась.

Механизм атаки начинается с фишингового письма, в котором утверждается, что против получателя подана судебная жалоба от бывшего сотрудника. Вложение представляет собой SVG-файл, который открывается через Google Drive. При нажатии на документ жертва скачивает ZIP-архив, защищенный паролем. Внутри архива находится исполняемый файл, для запуска которого требуется ввести пароль из письма.

После запуска файла активируется многостадийный процесс заражения. На первой стадии используется техника DLL side-loading, когда легитимный процесс javaw.exe с переименованным названием загружает вредоносную библиотеку JLI.dll. Эта библиотека, в свою очередь, загружает второй этап нагрузки - MSTH7EN.dll.

Второй этап включает сложные механизмы избегания обнаружения. Полезная нагрузка динамически разрешает необходимые API, проверяет рабочую директорию и расшифровывает конфигурацию вредоносного ПО. Затем следует процедура DLL hollowing, при которой код внедряется в секцию .text легитимной библиотеки vssapi.dll.

Третий этап представляет собой модульную структуру HijackLoader с 35 различными компонентами. Ключевым модулем является «ti64», который координирует выполнение других модулей. Среди них присутствуют компоненты для повышения привилегий (modUAC), создания постоянства в системе (modTask), обхода контроля учетных записей и различных методов инъекции кода.

Злоумышленники применяют продвинутые техники противодействия анализу, включая косвенные вызовы API, спуфинг стека вызовов и различные анти-отладочные проверки. HijackLoader проверяет наличие гипервизора, объем оперативной памяти, количество процессоров, имя пользователя и компьютера. При обнаружении признаков виртуальной среды или отладки процесс прекращает выполнение.

Для обеспечения постоянства в системе загрузчик использует несколько механизмов в зависимости от конфигурации. Это может быть создание ярлыка в автозагрузке или планировщика заданий через модуль modTask. Модуль PERSDATA содержит дополнительную конфигурацию для создания второго запланированного задания.

Методы инъекции финальной нагрузки варьируются в зависимости от флагов в конфигурации. HijackLoader поддерживает различные сценарии, включая откат NTFS-транзакций, Process Hollowing, секционное отображение памяти и подмену контекста потоков.

Финальной нагрузкой в этой кампании является PureHVNC RAT - троян удаленного доступа, распространяемый группой PureCoder через даркнет-форумы и Telegram. Этот инструмент предоставляет злоумышленникам полный контроль над зараженной системой.

Эксперты IBM X-Force отмечают растущую тенденцию целевых атак на пользователей в Латинской Америке с использованием тем, связанных с государственными и судебными органами. Сообщения создают ощущение срочности, что увеличивает вероятность успешного заражения.

Для защиты от подобных угроз рекомендуется включать отображение расширений файлов, ограничивать трафик к DuckDNS-доменам, проявлять осторожность при открытии вложений из непроверенных источников, обновлять средства защиты конечных точек и мониторить сетевую активность на предмет индикаторов компрометации, указанных в отчете. Своевременное обновление антивирусного ПО и соблюдение базовых правил кибергигиены значительно снижают риск успешной атаки.

Domains

• 7octubredc.duckdns.org
• dckis13.duckdns.org
• dckis7.duckdns.org
• enviopago.mysynology.net
• maximo26.duckdns.org
• nuevos777.duckdns.org
• sofiavergara.duckdns.org

URLs

• https://drive.google.com/file/d/1haApB_GMwZb83nw1YPdIDTLMtksRjkh/view?pli=1
• https://drive.google.com/file/d/1wzunPhL33jq_ZQug6k03hgxi4Eu57VfN/view?usp=sharing

Emails

• troquelesmyj@gmail.com

SHA256

• 0113d9f3d93069a29458b3b4c33610aae03961014df60a9e859f3104086d886a
• 14becb3a9663128543e1868d09611bd30a2b64c655dfb407a727a7f2d0fb8b7e
• 1ae61edf35127264d329b7c0e2bddb7077e34cc5f9417de86ab6d2d65bad4b4f
• 1bf3a1cf9bc7eded0b8994d44cf2b801bf12bc72dc23fb337ddd3a64ac235782
• 22d474e729d600dcd84ce139f6208ce3e3390693afa7b52b0615174fca6d0fe2
• 2cbfc482e27a2240a48d2fb6f6f740ff0f08598f83ae643a507c6f12a865dc28
• 2ec31a8a36d73fa8354a7ac0c39506dbe12638a0dc1b900f57620b8d53ae987f
• 33d0c63777882c9ec514be062612a56fdb1f291fcb6676c49480d3cd4501c508
• 4484b0ac51536890301a0e6573b962e069e31abc4c0c6f0f6fc1bf66bf588a93
• 47245b7d2d8cb6b92308deb80399e0273193d5bca39da85a6b2a87a109d18d85
• 57c49cff3e71bc75641c78a5a72d8509007a18032510f607c042053c9d280511
• 6d93a486e077858b75eb814e9a7bda181189d5833adce7cec75775cfda03f514
• 768ca38878c5bb15650343ce49292315a9834eaf62fad14422d52510c3787228
• 776bbaa44c7788e0ccd5945d583de9473b6246c44906692cb0a52e6329cb213a
• 7c3d9ad3f1bd890e3552dc67093e161395d4e1fab79ec745220af1e19a279722
• 7e64102405459192813541448c8fbadc481997a2065f26c848f1e3594ca404c9
• 85641c8fb94e8e4c5202152dcbb2bb26646529290d984988ecb72e18d63c9bc5
• 96ee786c5b6167c0f0f770efbace25e97d61e127ef7f58a879b6cf4b57e202c3
• 977f2f18ff13c93406c5702f83c04a9412760e02028aefc7c1cb7d6f2797a9b5
• 9e9997b54da0c633ffcf0a4fb94e67b482cf7a89522d1b254778d0c6c22c70ee
• a0e4979b4e4a706286438d48f0e21b0d92cc7bd40c1c3ea5b9872089aaec0124
• afecefa6d9bd1e6d1c92144209eda320e1fe0f196ffa8e8bc114e7d3a25503f6
• b2f733b67f1ef06d9e5ce76d3cc848f6e7e3ec2d0c363c76d5175c6cf85f979b
• bdca9849d7263d508b7ed4dbbf86bd628932b117b45933cb28a7e78171d05cdd
• c93e70d20ba2948a6a8a013df68e5c4d14d59e5f549417d1a76833bd1c8efd22
• ce42377d3d26853fd1718f69341c0631208138490decc8e71a5622df5e9e1f59
• d550a2a327394148c0c3d05df2fe0156783fc313b4038e454f9aa2cb2f0f2090
• e668ca17fcdfa818aac35f12064d10a0288d7d9c6b688966b695125b760567d6
• e7120d45ee357f30cb602c0d93ed8d366f4b11c251c2a3cd4753c5508c3b15e5
• fe6d0ee45a70359008b2916e5116c411a955978b5694cc457683ab7b26590e47