HijackLoader is naar voren gekomen als een nieuwe malware-lader die de afgelopen maanden aan populariteit wint. Dankzij de modulaire architectuur onderscheidt het zich van andere malware-laders, waardoor het een verscheidenheid aan modules kan gebruiken voor code-injectie en-uitvoering. Deze mogelijkheid heeft het tot een voorkeurskeuze gemaakt voor het laden van verschillende malwarefamilies, waaronder Danabot, SystemBC en RedLine Stealer.
De toenemende populariteit ervan suggereert dat bedreigingsactoren het in toenemende mate zouden kunnen adopteren, waardoor mogelijk het gat wordt opgevuld dat wordt achtergelaten door malware zoals Emotet en Qakbot. Zoals altijd is het cruciaal om waakzaam te blijven en op de hoogte te blijven van dergelijke bedreigingen voor het behoud van de cyberveiligheid.
Technische inzichten en belangrijkste bevindingen
Zscaler’s ThreatLabz observeerde HijackLoader voor het eerst in juli 2023. De lader heeft een belangrijke rol gespeeld bij het verwijderen van meerdere malwarefamilies, waardoor de potentiële dreiging ervan werd vergroot. Een van de onderscheidende kenmerken is het gebruik van syscalls om monitoring van beveiligingsoplossingen te omzeilen. Het detecteert ook specifieke processen op basis van een ingebedde blokkeerlijst en kan de uitvoering van code in verschillende fasen vertragen.
De ingebedde modules van HijackLoader bieden flexibele code-injectie en uitvoering, een functie die dat niet is gebruikelijk bij traditionele laders. Dankzij het modulaire ontwerp van de malware kan deze veelzijdig zijn, zich aanpassen aan verschillende taken en detectie effectiever omzeilen.
Hoe HijackLoader werkt
Na uitvoering initieert HijackLoader door het bepalen of de uiteindelijke payload is ingebed in het binaire bestand of dat deze moet worden gedownload van een externe server. Het bevat een gecodeerde configuratie die verschillende informatie opslaat, zoals Windows API-hashes voor dynamisch laden en parameters voor verschillende Windows API-functies.
De malware maakt gebruik van verschillende anti-analysetechnieken, waaronder het dynamisch laden van Windows API-functies met behulp van een aangepaste API-hashingtechniek. Het voert ook een HTTP-connectiviteitstest uit met een legitieme website, zoals Mozilla, en vertraagt de uitvoering van code in verschillende fasen op basis van de aanwezigheid van specifieke processen.
De modules van HijackLoader helpen bij het code-injectie-en uitvoeringsproces van de uiteindelijke lading. Deze modules zijn door ThreatLabz geïdentificeerd en hebben elk specifieke functionaliteiten. De AVDATA-module bevat bijvoorbeeld een blokkeerlijst met procesnamen van beveiligingsproducten, terwijl de ESLDR-module helpt bij code-injectie van de belangrijkste instrumentatieshellcode.
