Un análisis reciente revela que el malware loader HijackLoader ha incorporado nuevas técnicas de evasión de defensa, convirtiéndolo en una herramienta cada vez más utilizada por actores malintencionados para entregar cargas útiles y herramientas adicionales. Los investigadores de CrowdStrike, Donato Onofri y Emanuele Calvelli, descubrieron que esta nueva variante utiliza una técnica de hollowing de procesos combinada con un disparador adicional que se activa cuando el proceso principal escribe en una tubería, lo que hace que la evasión de defensa sea más sigilosa.
HijackLoader es conocido por ser utilizado por varios grupos de ciberdelincuentes para entregar amenazas como el Remcos RAT y el SystemBC a través de phishing, lo que lo convierte en una amenaza grave para la seguridad cibernética. Esta variante reciente de HijackLoader (también conocido como IDAT Loader) utiliza nuevas técnicas para mejorar su camuflaje digital y hacerlo más difícil de analizar y detectar.
El malware loader funciona como un canal para entregar herramientas y amenazas más sofisticadas después de infiltrarse en los sistemas. El punto de partida del ataque es un ejecutable llamado «streaming_client.exe» que descarga una configuración de segunda etapa desde un servidor remoto. Luego carga una biblioteca dinámica legítima (DLL) para activar el shellcode responsable de lanzar la carga útil de HijackLoader mediante técnicas de duplicación y hollowing de procesos que aumenta la complejidad del análisis y las capacidades de evasión de la defensa.
HijackLoader también utiliza un mecanismo de inyección de procesos llamado hollowing transaccional y trucos como Heaven’s Gate para evadir los productos de seguridad de punto final y pasar desapercibidos. Estas nuevas técnicas son tanto una evolución deliberada como experimental de sus capacidades de evasión de defensa existentes.
En resumen, HijackLoader se está volviendo más peligroso debido a sus nuevas técnicas de evasión de defensa y debería ser considerado un riesgo grave para la seguridad cibernética. Los profesionales de la seguridad cibernética deben estar en alerta máxima y utilizar todas las medidas de seguridad necesarias para proteger sus sistemas de esta amenaza.
Vía The Hacker News