HijackLoader est apparu comme un nouveau chargeur de logiciels malveillants qui gagne du terrain ces derniers mois. Son architecture modulaire le distingue des autres chargeurs de logiciels malveillants, lui permettant d’utiliser une variété de modules pour l’injection et l’exécution de code. Cette fonctionnalité en a fait un choix privilégié pour charger diverses familles de logiciels malveillants, notamment Danabot, SystemBC et RedLine Stealer.
Sa popularité croissante suggère que les auteurs de menaces pourraient l’adopter de plus en plus, comblant potentiellement le vide laissé par des logiciels malveillants comme Emotet et Qakbot. Comme toujours, rester vigilant et informé de ces menaces est crucial pour maintenir la cybersécurité.
Informations techniques et principales conclusions
ThreatLabz de Zscaler a observé HijackLoader pour la première fois en juillet 2023. Le chargeur a joué un rôle déterminant dans l’élimination de plusieurs familles de logiciels malveillants, amplifiant ainsi sa menace potentielle. L’une de ses caractéristiques distinctives est l’utilisation d’appels système pour échapper à la surveillance des solutions de sécurité. Il détecte également des processus spécifiques basés sur une liste de blocage intégrée et peut retarder l’exécution du code à différentes étapes.
Les modules intégrés de HijackLoader offrent une injection de code et une exécution flexibles, une fonctionnalité qui n’est pas disponible. courant parmi les chargeurs traditionnels. La conception modulaire du malware lui permet d’être polyvalent, de s’adapter à diverses tâches et d’échapper plus efficacement à la détection.
Comment fonctionne HijackLoader
Lors de son exécution, HijackLoader démarre en déterminer si la charge utile finale est intégrée dans le binaire ou si elle doit être téléchargée à partir d’un serveur externe. Il comprend une configuration cryptée qui stocke diverses informations, telles que les hachages de l’API Windows pour le chargement dynamique et les paramètres de plusieurs fonctions de l’API Windows.
Le malware utilise plusieurs techniques anti-analyse, notamment le chargement dynamique des fonctions de l’API Windows à l’aide de une technique de hachage API personnalisée. Il effectue également un test de connectivité HTTP avec un site Web légitime, comme Mozilla, et retarde l’exécution du code à différentes étapes en fonction de la présence de processus spécifiques.
Les modules de HijackLoader facilitent le processus d’injection et d’exécution du code final. charge utile. Ces modules ont été identifiés par ThreatLabz, chacun ayant des fonctionnalités spécifiques. Par exemple, le module AVDATA contient une liste de blocage des noms de processus des produits de sécurité, tandis que le module ESLDR facilite l’injection de code du shellcode de l’instrumentation principale.
