HijackLoader telah muncul sebagai pemuat malware baru yang mendapatkan daya tarik dalam beberapa bulan terakhir. Arsitektur modularnya membedakannya dari pemuat malware lainnya, memungkinkannya memanfaatkan berbagai modul untuk injeksi dan eksekusi kode. Kemampuan ini menjadikannya pilihan utama untuk memuat berbagai jenis malware, termasuk Danabot, SystemBC, dan RedLine Stealer.
Meningkatnya popularitasnya menunjukkan bahwa pelaku ancaman mungkin semakin banyak yang mengadopsinya, sehingga berpotensi mengisi celah yang ditinggalkan oleh malware seperti Emotet dan Qakbot. Seperti biasa, tetap waspada dan mendapatkan informasi terbaru tentang ancaman semacam ini sangat penting untuk menjaga keamanan siber.
Wawasan Teknis dan Temuan Penting
ThreatLabz dari Zscaler pertama kali mengamati HijackLoader pada bulan Juli 2023. Loader ini berperan penting dalam menghilangkan beberapa kelompok malware, sehingga memperbesar potensi ancamannya. Salah satu ciri khasnya adalah penggunaan syscall untuk menghindari pemantauan dari solusi keamanan. Ini juga mendeteksi proses tertentu berdasarkan daftar blokir yang tertanam dan dapat menunda eksekusi kode pada tahapan yang berbeda.
Modul tertanam HijackLoader menawarkan injeksi kode dan eksekusi yang fleksibel, sebuah fitur yang tidak umum di antara loader tradisional. Desain modular malware ini memungkinkannya menjadi serbaguna, beradaptasi dengan berbagai tugas dan menghindari deteksi dengan lebih efektif.
Cara Kerja HijackLoader
Setelah dieksekusi, HijackLoader memulai dengan menentukan apakah muatan akhir tertanam dalam biner atau perlu diunduh dari server eksternal. Ini mencakup konfigurasi terenkripsi yang menyimpan berbagai informasi, seperti hash Windows API untuk pemuatan dinamis dan parameter untuk beberapa fungsi Windows API.
Malware ini menggunakan beberapa teknik anti-analisis, termasuk pemuatan dinamis fungsi Windows API menggunakan teknik hashing API khusus. Ia juga melakukan uji konektivitas HTTP ke situs web yang sah, seperti Mozilla, dan menunda eksekusi kode pada tahap yang berbeda berdasarkan keberadaan proses tertentu.
Modul HijackLoader membantu proses injeksi kode dan eksekusi akhir muatan. Modul-modul ini telah diidentifikasi oleh ThreatLabz, dan masing-masing memiliki fungsi spesifik. Misalnya, modul AVDATA berisi daftar nama proses produk keamanan yang tidak diizinkan, sedangkan modul ESLDR membantu injeksi kode shellcode instrumentasi utama.
