Търсене
Close this search box.

Нов модул за зареждане на зловреден софтуер HijackLoader

Нов зареждащ модул за зловреден софтуер, наречен HijackLoader, набира популярност сред киберпрестъпната общност, за да доставя различни полезни товари, като DanaBot, SystemBC и RedLine Stealer.

„Въпреки че HijackLoader не съдържа усъвършенствани функции, той е способен да използва различни модули за инжектиране и изпълнение на код, тъй като използва модулна архитектура – функция, която повечето зареждащи устройства нямат“, казва Николаос Пантазопулос, изследовател от Zscaler ThreatLabz.

Забелязан за първи път от компанията през юли 2023 г., зловредният софтуер използва редица техники, за да се скрие под радара. Това включва използване на syscalls за избягване на наблюдението от решенията за сигурност, наблюдение на процесите, свързани със софтуера за сигурност, въз основа на вграден списък с блокове и отлагане на изпълнението на кода с до 40 секунди на различни етапи.

Понастоящем не е известен точният първоначален вектор за достъп, използван за проникване в целите. Независимо от аспектите, свързани с антианализа, зареждащото устройство съдържа основен модул за инструментиране, който улеснява гъвкавото въвеждане и изпълнение на код с помощта на вградени модули.

Устойчивостта на компрометирания хост се постига чрез създаване на файл с пряк път (LNK) в папката за стартиране на Windows и насочването му към задача на Background Intelligent Transfer Service (BITS).

„HijackLoader е  зареждащ модул с техники за избягване, който осигурява разнообразни възможности за зареждане на зловредни товари“, казва Пантазопулос. „Освен това той не разполага с никакви разширени функции и качеството на кода е лошо“.

Разкритието идва в момент, в който Flashpoint даде подробности за актуализирана версия на зловреден софтуер за кражба на информация, известен като RisePro, който преди това е бил разпространяван чрез услуга за изтегляне на зловреден софтуер с такса за инсталиране (PPI), наречена PrivateLoader.

„Продавачът твърди в рекламите си, че е взел най-добрите аспекти на „RedLine“ и „Vidar“, за да направи мощен крадец“, отбелязва Flashpoint. „И този път продавачът обещава и ново предимство за потребителите на RisePro: клиентите хостват свои собствени панели, за да гарантират, че логовете не се крадат от продавачите.“

RisePro, написан на C++, е проектиран да събира чувствителна информация на заразените машини и да я ексфилтрира към сървър за командване и контрол (C&C) под формата на логове. За първи път е предложен за продажба през декември 2022 г.

Тя следва и откриването на нов крадец на информация, написан на Node.js, който е опакован в изпълним файл и се разпространява чрез злонамерени реклами във Facebook на тема Large Language Model (LLM) и фалшиви уебсайтове, представящи се за видеоредактора CapCut на ByteDance.

„Когато крадецът се инсталира, той изпълнява основната си функция, която краде бисквитки и пълномощни от няколко уеб браузъра, базирани на Chromium, след което ексфилтрира данните към C&C сървъра и към бота Telegram“, казва изследователят по сигурността Яромир Хорейши.

„Той също така абонира клиента за C&C сървъра, който работи на GraphQL. Когато C&C сървърът изпрати съобщение до клиента, функцията за кражба ще се изпълни отново“. Целевите браузъри включват Google Chrome, Microsoft Edge, Opera (и OperaGX) и Brave.

Това е вторият случай, в който се наблюдава, че фалшиви уебсайтове CapCut доставят зловреден софтуер за кражба. През май 2023 г. Cyble разкри две различни вериги от атаки, които използваха софтуера като примамка, за да подмамят нищо неподозиращите потребители да стартират Offx Stealer и RedLine Stealer.

Развитието на събитията рисува картина на постоянно развиваща се екосистема за киберпрестъпност, като инфекциите със Stealer действат като основен първоначален вектор на атака, използван от участниците в заплахите за проникване в организациите и извършване на действия след експлоатиране.

Ето защо не е изненадващо, че  заплахите скачат на гребена на вълната, за да създадат нови щамове на зловреден софтуер за кражби като Prysmax, които включват швейцарско армейско ножче от функционалности, които позволяват на клиентите им да увеличат максимално обхвата и въздействието си.

„Базираният на Python зловреден софтуер е опакован с помощта на Pyinstaller, който може да се използва за свързване на зловредния код и всички негови зависимости в един изпълним файл“, казва Cyfirma. „Зловредният софтуер за кражба на информация е фокусиран върху деактивирането на Windows Defender, манипулиране на настройките му и конфигуриране на собствена реакция на заплахите.“

„Той също така се опитва да намали проследимостта си и да запази позиции в компрометираната система. Зловредният софтуер изглежда е добре проектиран за кражба и ексфилтрация на данни, като същевременно избягва откриването им от инструментите за сигурност, както и от пясъчниците за динамичен анализ.“

 

Източник: The Hacker News

Подобни публикации

16 април 2024

CISA издаде извънредна директива

На 11 април Агенцията за киберсигурност и инфраструктурна сигурност...
15 април 2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви ареста и повдигането на...
15 април 2024

Daixin Team ransomware е атакувала успешно Omni...

Бандата Daixin Team ransomware е извършила неотдавнашна кибератака ...
15 април 2024

За проблемите с работната сила в сферата киберс...

  За проблемите с работната сила в сферата киберсигурността в ...
15 април 2024

КНДР се възползва от 2 подтехники: Призрачно от...

Този месец MITRE ще добави две подтехники към своята база данни ATT...
15 април 2024

Хакер твърди, че е пробил Giant Tiger и пусна 2...

Канадската верига за търговия на дребно Giant Tiger разкрива наруше...
14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
Бъдете социални
Още по темата
15/04/2024

Daixin Team ransomware е ат...

Бандата Daixin Team ransomware е извършила...
15/04/2024

Хакер твърди, че е пробил G...

Канадската верига за търговия на дребно...
11/04/2024

CISA нарежда на агенциите, ...

CISA издаде нова спешна директива, с...
Последно добавени
16/04/2024

CISA издаде извънредна дире...

На 11 април Агенцията за киберсигурност...
15/04/2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви...
15/04/2024

Daixin Team ransomware е ат...

Бандата Daixin Team ransomware е извършила...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!