Модульный загрузчик HijackLoader — новый шаг в эволюции киберугроз

Исследователи безопасности из Zscaler ThreatLabz обнаружили новый загрузчик вредоносного ПО под названием HijackLoader, который был впервые замечен в июле 2023 года и позволяет доставлять полезные нагрузки DanaBot, SystemBC и RedLine Stealer.

Несмотря на отсутствие продвинутых функций, загрузчик использует модульную архитектуру для инъекции и выполнения кода, что является редкостью для большинства загрузчиков.

HijackLoader применяет несколько методов для обхода систем безопасности, включая использование системных вызовов для уклонения от мониторинга, а также отложенное выполнение кода на различных этапах до 40 секунд. Постоянство на скомпрометированном хосте достигается путем создания LNK-ярлыка в папке автозагрузки Windows, который указывает на задание Фоновой интеллектуальной службы передачи (Background Intelligent Transfer Service, BITS).

Точный вектор заражения HijackLoader на данный момент неизвестен. Несмотря на аспекты антианализа, загрузчик включается в основной инструментальный модуль, который обеспечивает гибкое внедрение и выполнение кода с использованием встроенных модулей.

Обнаружение HijackLoader произошло на фоне того, как недавно стало известно, что вредоносное ПО Chaes, широко известное хищением финансовой информации у пользователей электронной коммерции в Латинской Америке, претерпело серьёзные изменения и вернулось в строй. Chaes был полностью переписан на языке Python, что позволило снизить вероятность обнаружения традиционными системами защиты. Также был переработан протокол связи с командным сервером.

Также напомним, что в июле 2023 года японская команда по чрезвычайным ситуациям в компьютерной безопасности (JPCERT) обнаружила новый тип кибератак, в котором используются так называемые «полиглот файлы». Они объединяют в себе признаки PDF и Word документов, что позволяет легко обходить системы безопасности.