Нов зареждащ модул за зловреден софтуер, наречен HijackLoader, набира популярност сред киберпрестъпната общност, за да доставя различни полезни товари, като DanaBot, SystemBC и RedLine Stealer.

„Въпреки че HijackLoader не съдържа усъвършенствани функции, той е способен да използва различни модули за инжектиране и изпълнение на код, тъй като използва модулна архитектура – функция, която повечето зареждащи устройства нямат“, казва Николаос Пантазопулос, изследовател от Zscaler ThreatLabz.

Забелязан за първи път от компанията през юли 2023 г., зловредният софтуер използва редица техники, за да се скрие под радара. Това включва използване на syscalls за избягване на наблюдението от решенията за сигурност, наблюдение на процесите, свързани със софтуера за сигурност, въз основа на вграден списък с блокове и отлагане на изпълнението на кода с до 40 секунди на различни етапи.

Понастоящем не е известен точният първоначален вектор за достъп, използван за проникване в целите. Независимо от аспектите, свързани с антианализа, зареждащото устройство съдържа основен модул за инструментиране, който улеснява гъвкавото въвеждане и изпълнение на код с помощта на вградени модули.

Устойчивостта на компрометирания хост се постига чрез създаване на файл с пряк път (LNK) в папката за стартиране на Windows и насочването му към задача на Background Intelligent Transfer Service (BITS).

„HijackLoader е  зареждащ модул с техники за избягване, който осигурява разнообразни възможности за зареждане на зловредни товари“, казва Пантазопулос. „Освен това той не разполага с никакви разширени функции и качеството на кода е лошо“.

Разкритието идва в момент, в който Flashpoint даде подробности за актуализирана версия на зловреден софтуер за кражба на информация, известен като RisePro, който преди това е бил разпространяван чрез услуга за изтегляне на зловреден софтуер с такса за инсталиране (PPI), наречена PrivateLoader.

„Продавачът твърди в рекламите си, че е взел най-добрите аспекти на „RedLine“ и „Vidar“, за да направи мощен крадец“, отбелязва Flashpoint. „И този път продавачът обещава и ново предимство за потребителите на RisePro: клиентите хостват свои собствени панели, за да гарантират, че логовете не се крадат от продавачите.“

RisePro, написан на C++, е проектиран да събира чувствителна информация на заразените машини и да я ексфилтрира към сървър за командване и контрол (C&C) под формата на логове. За първи път е предложен за продажба през декември 2022 г.

Тя следва и откриването на нов крадец на информация, написан на Node.js, който е опакован в изпълним файл и се разпространява чрез злонамерени реклами във Facebook на тема Large Language Model (LLM) и фалшиви уебсайтове, представящи се за видеоредактора CapCut на ByteDance.

„Когато крадецът се инсталира, той изпълнява основната си функция, която краде бисквитки и пълномощни от няколко уеб браузъра, базирани на Chromium, след което ексфилтрира данните към C&C сървъра и към бота Telegram“, казва изследователят по сигурността Яромир Хорейши.

„Той също така абонира клиента за C&C сървъра, който работи на GraphQL. Когато C&C сървърът изпрати съобщение до клиента, функцията за кражба ще се изпълни отново“. Целевите браузъри включват Google Chrome, Microsoft Edge, Opera (и OperaGX) и Brave.

Това е вторият случай, в който се наблюдава, че фалшиви уебсайтове CapCut доставят зловреден софтуер за кражба. През май 2023 г. Cyble разкри две различни вериги от атаки, които използваха софтуера като примамка, за да подмамят нищо неподозиращите потребители да стартират Offx Stealer и RedLine Stealer.

Развитието на събитията рисува картина на постоянно развиваща се екосистема за киберпрестъпност, като инфекциите със Stealer действат като основен първоначален вектор на атака, използван от участниците в заплахите за проникване в организациите и извършване на действия след експлоатиране.

Ето защо не е изненадващо, че  заплахите скачат на гребена на вълната, за да създадат нови щамове на зловреден софтуер за кражби като Prysmax, които включват швейцарско армейско ножче от функционалности, които позволяват на клиентите им да увеличат максимално обхвата и въздействието си.

„Базираният на Python зловреден софтуер е опакован с помощта на Pyinstaller, който може да се използва за свързване на зловредния код и всички негови зависимости в един изпълним файл“, казва Cyfirma. „Зловредният софтуер за кражба на информация е фокусиран върху деактивирането на Windows Defender, манипулиране на настройките му и конфигуриране на собствена реакция на заплахите.“

„Той също така се опитва да намали проследимостта си и да запази позиции в компрометираната система. Зловредният софтуер изглежда е добре проектиран за кражба и ексфилтрация на данни, като същевременно избягва откриването им от инструментите за сигурност, както и от пясъчниците за динамичен анализ.“