Una versión más nueva de un cargador de malware llamado Cargador de secuestro Se ha observado que incorpora un conjunto actualizado de técnicas anti-análisis para pasar desapercibido.
«Estas mejoras tienen como objetivo aumentar el sigilo del malware, por lo que permanece sin ser detectado durante períodos de tiempo más largos», dijo Muhammed Irfan VA, investigador de Zscaler ThreatLabz. dicho en un informe técnico.
«Hijack Loader ahora incluye módulos para agregar una exclusión para Windows Defender Antivirus, evitar el Control de cuentas de usuario (UAC), evadir el enlace de API en línea que a menudo utiliza el software de seguridad para la detección y emplear el vaciado de procesos».
Hijack Loader, también llamado IDAT Loader, es un cargador de malware que fue documentado por primera vez por la empresa de ciberseguridad en septiembre de 2023. En los meses intermedios, la herramienta se ha utilizado como conducto para distribuir varias familias de malware.
Esto incluye a Amadey, Lumma Stealer (también conocido como LummaC2), Meta Stealer, Racoon Stealer V2, Remcos RAT y Rhadamanthys.
Lo que hace que la última versión sea notable es el hecho de que descifra y analiza una imagen PNG para cargar la carga útil de la siguiente etapa, una técnica que fue primer detallado por Morphisec en relación con una campaña dirigida a entidades ucranianas con sede en Finlandia.
El cargador, según Zscaler, viene equipado con una primera etapa, que es responsable de extraer e iniciar la segunda etapa a partir de una imagen PNG que está incrustada en ella o descargada por separado según la configuración del malware.
«El objetivo principal de la segunda etapa es inyectar el módulo de instrumentación principal», explicó Irfan. «Para aumentar el sigilo, la segunda etapa del cargador emplea más técnicas anti-análisis utilizando múltiples módulos».
Los artefactos de Hijack Loader detectados en marzo y abril de 2024 también incorporan hasta siete módulos nuevos para ayudar a crear nuevos procesos, realizar la omisión de UAC y agregar una exclusión de Windows Defender Antivirus mediante un comando de PowerShell.
Al sigilo del malware se suma el uso de la técnica Heaven’s Gate para eludir los ganchos del modo de usuario, como previamente revelado por CrowdStrike en febrero de 2024.
«Amadey ha sido la familia más entregada por HijackLoader», dijo Irfan. «La carga de la segunda etapa implica el uso de una imagen PNG incrustada o una imagen PNG descargada de la web. Además, se han integrado nuevos módulos en HijackLoader, mejorando sus capacidades y haciéndolo aún más robusto».
El desarrollo se produce en medio de campañas de malware que distribuyen diferentes familias de cargadores de malware como Puerta oscura, murciélago falso (también conocido como EugenLoader), GuLoader mediante ataques de publicidad maliciosa y phishing.
También sigue la aparición de un ladrón de información llamado TesseractStealer que se distribuye por ViperSoftX y utiliza el motor de reconocimiento óptico de caracteres (OCR) Tesseract de código abierto para extraer texto de archivos de imagen.
«El malware se centra en datos específicos relacionados con credenciales e información de billeteras de criptomonedas», Symantec, propiedad de Broadcom dicho. «Además de TesseractStealer, también se ha observado que algunas de las ejecuciones recientes de ViperSoftX arrojan otra carga útil de la familia de malware Quasar RAT».