Peneliti cybersecurity telah menemukan versi terbaru dari pemuat malware yang disebut HiJack Loader yang mengimplementasikan fitur baru untuk menghindari deteksi dan membangun persistensi pada sistem yang dikompromikan.
“HiJack Loader merilis modul baru yang mengimplementasikan spoofing tumpukan panggilan untuk menyembunyikan asal usul panggilan fungsi (misalnya panggilan API dan sistem),” kata peneliti Zscaler Ancamanlabz Muhammed Irfan VA dalam sebuah analisis. “HiJack Loader menambahkan modul baru untuk melakukan pemeriksaan anti-VM untuk mendeteksi lingkungan analisis malware dan kotak pasir.”
HiJack Loader, pertama kali ditemukan pada tahun 2023, menawarkan kemampuan untuk memberikan muatan tahap kedua seperti malware pencuri informasi. Ini juga dilengkapi dengan berbagai modul untuk memotong perangkat lunak keamanan dan menyuntikkan kode berbahaya. HiJack Loader dilacak oleh komunitas cybersecurity yang lebih luas dengan nama Doiloader, Ghostpulse, IDAT Loader, dan Shadowladder.
Pada bulan Oktober 2024, Harfanglab dan elastis Laboratorium Keamanan Rinci Kampanye Loader Pembajak yang memanfaatkan sertifikat penandatanganan kode yang sah serta strategi clickFix yang terkenal untuk mendistribusikan malware.
Iterasi terbaru dari loader hadir dengan sejumlah perbaikan atas pendahulunya, yang paling menonjol adalah penambahan spoofing tumpukan panggilan sebagai taktik penghindaran untuk menyembunyikan asal API dan panggilan sistem, sebuah metode baru -baru ini juga dianut oleh loader malware lain yang dikenal sebagai Coffeeloader.
“Teknik ini menggunakan rantai pointer EBP untuk melintasi tumpukan dan menyembunyikan keberadaan panggilan jahat di tumpukan dengan mengganti bingkai tumpukan yang sebenarnya dengan yang dibuat -buat,” kata Zscaler.
Seperti halnya versi sebelumnya, Loader HiJack memanfaatkan teknik gerbang surga untuk melaksanakan syscall langsung 64-bit untuk injeksi proses. Perubahan lain termasuk revisi ke daftar proses yang masuk daftar untuk memasukkan “avastsvc.exe,” komponen Avast antivirus, untuk menunda eksekusi dengan lima detik.
Malware juga menggabungkan dua modul baru, yaitu antivm untuk mendeteksi mesin virtual dan ModTask untuk menyiapkan kegigihan melalui tugas yang dijadwalkan.
Temuan menunjukkan bahwa pembajakan loader terus dipertahankan secara aktif oleh operatornya dengan niat untuk memperumit analisis dan deteksi.
Shelby Malware menggunakan github untuk perintah dan kontrol
Perkembangan ini datang ketika laboratorium keamanan elastis merinci keluarga malware baru yang dijuluki Shelby yang menggunakan GitHub untuk perintah-dan-kontrol (C2), exfiltrasi data, dan kendali jarak jauh. Aktivitas ini sedang dilacak sebagai Ref8685.
Rantai serangan melibatkan penggunaan email phishing sebagai titik awal untuk mendistribusikan arsip zip yang berisi biner. Pesan email dikirim ke perusahaan telekomunikasi berbasis di Irak melalui email phishing yang sangat bertarget yang dikirim dari dalam organisasi yang ditargetkan.
Loader kemudian memulai komunikasi dengan GitHub untuk C2 untuk mengekstraksi nilai 48-byte tertentu dari file bernama “lisensi.txt” di repositori yang dikendalikan oleh penyerang. Nilainya kemudian digunakan untuk menghasilkan kunci dekripsi AES dan menguraikan muatan backdoor utama (“httpapi.dll”) dan memuatnya ke dalam memori tanpa meninggalkan artefak yang terdeteksi pada disk.
“Shelbyloader menggunakan teknik deteksi kotak pasir untuk mengidentifikasi lingkungan tervirtualisasi atau dipantau,” kata Elastic. “Setelah dieksekusi, ia mengirimkan hasilnya kembali ke C2. Hasil ini dikemas sebagai file log, merinci apakah setiap metode deteksi berhasil mengidentifikasi lingkungan kotak pasir.”
Backdoor Shelbyc2, untuk bagiannya, perintah parses yang tercantum dalam file lain bernama “command.txt” untuk mengunduh/mengunggah file dari/ke repositori github, memuat. NET biner secara reflektif, dan menjalankan perintah PowerShell. Yang terkenal di sini adalah komunikasi C2 terjadi melalui komitmen ke repositori pribadi dengan memanfaatkan token akses pribadi (PAT).
“Cara malware diatur berarti bahwa siapa pun yang memiliki PAT (token akses pribadi) dapat secara teoritis mengambil perintah yang dikirim oleh penyerang dan mengakses output perintah dari mesin korban mana pun,” kata perusahaan itu. “Ini karena token Pat tertanam dalam biner dan dapat digunakan oleh siapa saja yang mendapatkannya.”
Emmenhtal menyebar smokeloader melalui file 7-zip
Email phishing yang bertema pembayaran bertema pembayaran juga telah diamati memberikan keluarga Malware Loader dengan nama kode Emmenhtal Loader (alias Puncak), yang bertindak sebagai saluran untuk menggunakan malware lain yang dikenal sebagai SmokeLoader.
“Salah satu teknik penting yang diamati dalam sampel SmokeLoader ini adalah penggunaan .NET Reactor, alat perlindungan .NET komersial yang digunakan untuk kebingungan dan pengepakan,” kata Gdata.
“Sementara SmokeLoader secara historis memanfaatkan pengepakan seperti Themida, Enigma Protector, dan Commerpters Kustom, penggunaan .NET Reactor sejajar dengan tren yang terlihat pada keluarga malware lain, terutama pencuri dan pemuat, karena mekanisme anti-analisis yang kuat.”
