HijackLoader hat sich als neuer Malware-Loader herausgestellt, der in den letzten Monaten an Bedeutung gewonnen hat. Seine modulare Architektur unterscheidet ihn von anderen Malware-Loadern und ermöglicht die Verwendung einer Vielzahl von Modulen für die Code-Injektion und-Ausführung. Diese Fähigkeit hat es zu einer bevorzugten Wahl für das Laden verschiedener Malware-Familien gemacht, darunter Danabot, SystemBC und RedLine Stealer.
Seine zunehmende Beliebtheit deutet darauf hin, dass Bedrohungsakteure es zunehmend übernehmen und möglicherweise die Lücke füllen könnten, die Malware wie Emotet und Qakbot. Wie immer ist es für die Aufrechterhaltung der Cybersicherheit von entscheidender Bedeutung, wachsam zu bleiben und sich über solche Bedrohungen auf dem Laufenden zu halten.
Technische Erkenntnisse und wichtige Erkenntnisse
Zscaler’s ThreatLabz beobachtete HijackLoader erstmals im Juli 2023. Der Loader war maßgeblich daran beteiligt, mehrere Malware-Familien zu vernichten, was seine potenzielle Bedrohung verstärkte. Eine seiner Besonderheiten ist die Verwendung von Systemaufrufen, um der Überwachung durch Sicherheitslösungen zu entgehen. Es erkennt auch bestimmte Prozesse basierend auf einer eingebetteten Blockliste und kann die Codeausführung in verschiedenen Phasen verzögern.
Die eingebetteten Module von HijackLoader bieten eine flexible Code-Injektion und-Ausführung, eine Funktion, die es nicht gibt bei herkömmlichen Ladern üblich. Durch den modularen Aufbau der Malware ist sie vielseitig einsetzbar, passt sich verschiedenen Aufgaben an und entgeht der Erkennung effektiver.
Funktionsweise von HijackLoader
Bei der Ausführung startet HijackLoader durch Bestimmen, ob die endgültige Nutzlast in die Binärdatei eingebettet ist oder ob sie von einem externen Server heruntergeladen werden muss. Es umfasst eine verschlüsselte Konfiguration, die verschiedene Informationen speichert, wie zum Beispiel Windows-API-Hashes für dynamisches Laden und Parameter für mehrere Windows-API-Funktionen.
Die Malware verwendet mehrere Anti-Analysetechniken, einschließlich dynamischem Laden von Windows-API-Funktionen eine benutzerdefinierte API-Hashing-Technik. Es führt außerdem einen HTTP-Konnektivitätstest zu einer legitimen Website wie Mozilla durch und verzögert die Codeausführung in verschiedenen Phasen basierend auf dem Vorhandensein bestimmter Prozesse.
Die Module von HijackLoader unterstützen die Codeinjektion und den Ausführungsprozess des Endprodukts Nutzlast. Diese Module wurden von ThreatLabz identifiziert und verfügen jeweils über spezifische Funktionalitäten. Das AVDATA-Modul enthält beispielsweise eine Blockliste der Prozessnamen von Sicherheitsprodukten, während das ESLDR-Modul bei der Codeinjektion des Hauptinstrumentierungs-Shellcodes hilft.
