A HijackLoader új rosszindulatú programbetöltőként jelent meg, amely az elmúlt hónapokban egyre nagyobb teret hódított. Moduláris felépítése megkülönbözteti a többi rosszindulatú programbetöltőtől, lehetővé téve, hogy számos modult használjon kódbefecskendezéshez és-végrehajtáshoz. Ez a képesség előnyben részesítette a különféle rosszindulatú programcsaládok betöltésére, beleértve a Danabot, =”https://malpedia.caad.fkie.fraunhofer.de/details/win.systembc”>SystemBC és RedLine Stealer.
Növekvő népszerűsége azt sugallja, hogy a fenyegetést jelentő szereplők egyre gyakrabban alkalmazhatják, és ezzel pótolhatják az olyan rosszindulatú programok által hagyott űrt, mint a Emotet és Qakbot. Mint mindig, az ilyen fenyegetésekkel kapcsolatos éberség és naprakész információk létfontosságúak a kiberbiztonság fenntartásához.
Technikai betekintések és legfontosabb megállapítások
Zscaler’s ThreatLabz először 2023 júliusában figyelte meg a HijackLoader-t. A betöltő jelentős szerepet játszott több rosszindulatú programcsalád leállításában, felerősítve a potenciális fenyegetést. Egyik megkülönböztető jellemzője a rendszerhívások használata a biztonsági megoldások megfigyelésének elkerülésére. Ezenkívül egy beágyazott blokkolista alapján észlel bizonyos folyamatokat, és késleltetheti a kód végrehajtását a különböző szakaszokban.
A HijackLoader beágyazott moduljai rugalmas kódbefecskendezést és-végrehajtást kínálnak, ami nem elterjedt a hagyományos rakodók körében. A kártevő moduláris felépítése lehetővé teszi, hogy sokoldalú legyen, alkalmazkodjon a különféle feladatokhoz, és hatékonyabban kerülje el az észlelést.
Hogyan működik a HijackLoader
A HijackLoader végrehajtása során annak meghatározása, hogy a végső hasznos adat be van-e ágyazva a binárisba, vagy le kell-e tölteni egy külső szerverről. Tartalmaz egy titkosított konfigurációt, amely különféle információkat tárol, például Windows API-kivonatokat a dinamikus betöltéshez és paramétereket számos Windows API-funkcióhoz.
A rosszindulatú program számos anti-elemzési technikát alkalmaz, beleértve a Windows API-funkciók dinamikus betöltését. egyéni API-kivonatolási technika. HTTP-kapcsolati tesztet is végez egy legitim webhelyen, például a Mozillán, és késlelteti a kódfuttatást a különböző szakaszokban az adott folyamatok jelenléte alapján.
A HijackLoader moduljai segítenek a kódbefecskendezés és a végső kód végrehajtási folyamatában. hasznos teher. Ezeket a modulokat a ThreatLabz azonosította, és mindegyiknek van sajátos funkciója. Például az AVDATA modul a biztonsági termékek folyamatneveinek blokklistáját tartalmazza, míg az ESLDR modul segít a fő műszerhéjkód kódbefecskendezésében.
