- 19,455
- 40
- 8 Ноя 2022
Hijack Loader научился имитировать легитимные процессы с пугающей точностью.
Злоумышленники продолжают совершенствовать средства доставки вредоносного ПО, и новое обновление Hijack Loader — яркий тому пример. Исследователи из компании Zscaler Для просмотра ссылки Войдиили Зарегистрируйся свежую версию этого загрузчика, получившего популярность среди киберпреступников за счёт своей способности обходить защитные механизмы и обеспечивать скрытную загрузку других вредоносных компонентов. Теперь инструмент научился маскировать происхождение системных вызовов, проверять виртуальные среды и сохранять своё присутствие в системе.
Главным нововведением стала реализация подмены стека вызовов, позволяющей скрывать источник обращения к функциям API. Такая тактика значительно затрудняет анализ, особенно при работе с системами отладки и в песочницах. Подделка кадров стека с помощью цепочки указателей EBP позволяет заменить реальные записи на фальшивые, тем самым скрывая следы работы вредоносного кода. Аналогичную технику недавно начали применять и авторы другого загрузчика — Для просмотра ссылки Войдиили Зарегистрируйся .
Hijack Loader был впервые зафиксирован в 2023 году и за это время успел обзавестись несколькими именами — DOILoader, GHOSTPULSE, IDAT Loader и SHADOWLADDER. Он используется для доставки модулей второго этапа, таких как инфостилеры, и включает в себя целый арсенал средств обхода Для просмотра ссылки Войдиили Зарегистрируйся и внедрения кода в легитимные процессы.
Осенью 2024 года исследователи из HarfangLab и Elastic Security Labs Для просмотра ссылки Войдиили Зарегистрируйся по распространению Hijack Loader, в рамках которой использовались подлинные сертификаты цифровой подписи и стратегия ClickFix — популярный способ маскировки загрузки вредоноса под легитимные обновления.
Среди других изменений в новой версии — обновлённый список запрещённых процессов. Теперь туда включён компонент антивируса Avast под названием «avastsvc.exe», запуск которого вызывает задержку в пять секунд — вероятно, для обхода обнаружения. Также задействована техника Heaven’s Gate, позволяющая выполнять прямые системные вызовы в 64-битном режиме — она применяется для внедрения вредоносного кода в другие процессы.
Загрузчик обзавёлся двумя новыми модулями. Первый, ANTIVM, отвечает за обнаружение виртуальных машин и, скорее всего, используется для выявления исследовательских сред. Второй, modTask, обеспечивает устойчивость за счёт добавления задач в планировщик Windows. Это позволяет запускать вредоносный код при старте системы без участия пользователя.
Согласно наблюдениям исследователей, Hijack Loader находится в активной разработке. Его создатели не только адаптируются к новым условиям, но и целенаправленно внедряют техники усложнённого анализа, чтобы замедлить работу специалистов по кибербезопасности и увеличить срок жизни вредоносной кампании.
Злоумышленники продолжают совершенствовать средства доставки вредоносного ПО, и новое обновление Hijack Loader — яркий тому пример. Исследователи из компании Zscaler Для просмотра ссылки Войди
Главным нововведением стала реализация подмены стека вызовов, позволяющей скрывать источник обращения к функциям API. Такая тактика значительно затрудняет анализ, особенно при работе с системами отладки и в песочницах. Подделка кадров стека с помощью цепочки указателей EBP позволяет заменить реальные записи на фальшивые, тем самым скрывая следы работы вредоносного кода. Аналогичную технику недавно начали применять и авторы другого загрузчика — Для просмотра ссылки Войди
Hijack Loader был впервые зафиксирован в 2023 году и за это время успел обзавестись несколькими именами — DOILoader, GHOSTPULSE, IDAT Loader и SHADOWLADDER. Он используется для доставки модулей второго этапа, таких как инфостилеры, и включает в себя целый арсенал средств обхода Для просмотра ссылки Войди
Осенью 2024 года исследователи из HarfangLab и Elastic Security Labs Для просмотра ссылки Войди
Среди других изменений в новой версии — обновлённый список запрещённых процессов. Теперь туда включён компонент антивируса Avast под названием «avastsvc.exe», запуск которого вызывает задержку в пять секунд — вероятно, для обхода обнаружения. Также задействована техника Heaven’s Gate, позволяющая выполнять прямые системные вызовы в 64-битном режиме — она применяется для внедрения вредоносного кода в другие процессы.
Загрузчик обзавёлся двумя новыми модулями. Первый, ANTIVM, отвечает за обнаружение виртуальных машин и, скорее всего, используется для выявления исследовательских сред. Второй, modTask, обеспечивает устойчивость за счёт добавления задач в планировщик Windows. Это позволяет запускать вредоносный код при старте системы без участия пользователя.
Согласно наблюдениям исследователей, Hijack Loader находится в активной разработке. Его создатели не только адаптируются к новым условиям, но и целенаправленно внедряют техники усложнённого анализа, чтобы замедлить работу специалистов по кибербезопасности и увеличить срок жизни вредоносной кампании.
- Источник новости
- www.securitylab.ru
