Una versión actualizada del malware Hijack Loader ahora ha sido encontrada integrando un conjunto actualizado de técnicas anti-análisis para eludir la detección durante periodos prolongados. Según el investigador de Zscaler ThreatLabz, Muhammed Irfan V A, «Estas mejoras apuntan a aumentar la sigilosidad del malware, permaneciendo indetectable durante periodos más largos de tiempo».
Además de agregar una exclusión para Windows Defender Antivirus y evadir el Control de Cuentas de Usuario (UAC), Hijack Loader ahora elude el enganche de API utilizado por software de seguridad para detección y emplea el vaciado de procesos. También conocido como IDAT Loader, Hijack Loader es un cargador de malware documentado por primera vez por la compañía de ciberseguridad en septiembre de 2023. Desde entonces, ha sido utilizado para entregar varias familias de malware, incluyendo Amadey, Lumma Stealer, Meta Stealer, Racoon Stealer V2, Remcos RAT y Rhadamanthys.
En la última versión, el malware desencripta y analiza una imagen PNG para cargar la carga útil de la siguiente etapa, una técnica previamente detallada por Morphisec en relación con una campaña dirigida a entidades ucranianas con sede en Finlandia. Zscaler informa que el cargador viene equipado con una primera etapa que extrae y lanza la segunda etapa desde una imagen PNG incrustada o descargada por separado según la configuración del malware. Esta segunda etapa inyecta el módulo de instrumentación principal utilizando múltiples módulos anti-análisis para aumentar la sigilosidad.
Los artefactos de Hijack Loader detectados en marzo y abril de 2024 también incorporan hasta siete nuevos módulos para crear nuevos procesos, realizar un bypass de UAC y agregar una exclusión de Windows Defender Antivirus a través de un comando de PowerShell. El uso de la técnica Heaven’s Gate para evitar enganches de modo de usuario también contribuye a la sigilosidad del malware, como previamente revelado por CrowdStrike en febrero de 2024.
Irfan afirmó que «Amadey ha sido la familia más comúnmente entregada por Hijack Loader», y que se ha observado el uso de una imagen PNG incrustada o descargada de la web para cargar la carga de la segunda etapa. Además, se han integrado nuevos módulos en Hijack Loader, mejorando sus capacidades y haciéndolo más robusto.
Este desarrollo sigue a campañas de malware que distribuyen diferentes familias de cargadores de malware como DarkGate, FakeBat, GuLoader a través de ataques de publicidad maliciosa y phishing. Además, apareció un ladrón de información llamado TesseractStealer, distribuido por ViperSoftX, que utiliza el motor de reconocimiento óptico de caracteres (OCR) de código abierto Tesseract para extraer texto de archivos de imagen. Symantec, propiedad de Broadcom, mencionó que «el malware se centra en datos específicos relacionados con credenciales e información de billeteras de criptomonedas.» Junto a TesseractStealer, algunos de los recientes lanzamientos de ViperSoftX también dejan otra carga útil de la familia de malware Quasar RAT.
Vía The Hacker News
