Novi malware loader pod nazivom HijackLoader postaje sve popularniji među cyber kriminalnom zajednicom kako bi isporučio različite payload-e kao što su DanaBot, SystemBC i RedLine Stealer.
„Iako HijackLoader ne sadrži napredne funkcije, sposoban je da koristi različite module za ubrizgavanje i izvršavanje koda jer koristi modularnu arhitekturu, funkciju koju većina učitavača nema“, rekao je Nikolaos Pantazopoulos, istraživač Zscaler ThreatLabza.
Prvi put primijećen u julu 2023. godine od strane kompanije, malware koristi brojne tehnike da prođe ispod radara. Ovo uključuje korištenje sistemskih poziva za izbjegavanje nadzora sigurnosnih rješenja, praćenje procesa povezanih sa sigurnosnim softverom na osnovu ugrađene liste blokova i odgađanje izvršavanja koda za čak 40 sekundi u različitim fazama.
Tačan početni vektor pristupa koji se koristi za infiltriranje ciljeva trenutno nije poznat. Bez obzira na aspekte anti-analize, učitavač pakuje u glavni instrumentacijski modul koji olakšava fleksibilno ubacivanje koda i izvršavanje pomoću ugrađenih modula.
Postojanost na kompromitovanom hostu se postiže kreiranjem shortcut datoteke (LNK) u Windows startup folderu i usmjeravanjem na posao usluge inteligentnog prijenosa u pozadini (BITS).
“HijackLoader je modularni učitavač sa tehnikama izbjegavanja, koji pruža razne opcije učitavanja za zlonamjerne korisne sadržaje”, rekao je Pantazopoulos. “Štaviše, nema nikakve napredne karakteristike i kvalitet koda je loš.”
Otkrivanje dolazi pošto je Flashpoint otkrio detalje ažurirane verzije malware-a za krađu informacija poznatog kao RisePro koji je prethodno distribuisan putem usluge preuzimanja malware-a s plaćanjem po instalaciji (PPI) pod nazivom PrivateLoader.
“Prodavac je u svojim oglasima tvrdio da su uzeli najbolje aspekte ‘RedLine’ i ‘Vidar’ kako bi napravili moćnog kradljivca,” primijetio je Flashpoint. „Ovog puta, prodavac takođe obećava novu prednost za korisnike RisePro-a: kupci hostuju sopstvene panele kako bi osigurali da prodavci ne ukradu logove.”
RisePro, napisan na C++, dizajniran je za prikupljanje osjetljivih informacija o zaraženim mašinama i njihovo eksfiltriranje na server za naredbu i kontrolu (C&C) u obliku dnevnika. Prvi put je ponuđen na prodaju u decembru 2022.
Takođe prati otkriće novog kradljivca informacija napisanog u Node.js koji je upakovan u izvršnu datoteku i distribuiran putem malicioznih Facebook oglasa sa temom velikog jezičkog modela (LLM) i lažnih veb lokacija koje oponašaju ByteDanceov CapCut video editor.
“Kada se krađa izvrši, pokreće svoju glavnu funkciju koja krade kolačiće i akreditive iz nekoliko web pretraživača zasnovanih na Chromiumu, a zatim eksfiltrira podatke na C&C server i Telegram botu”, rekao je istraživač sigurnosti Jaromir Horejsi.
“Također pretplaćuje klijenta na C&C server koji pokreće GraphQL. Kada C&C server pošalje poruku klijentu, funkcija krađe će se ponovo pokrenuti.” Ciljani pretraživači uključuju Google Chrome, Microsoft Edge, Opera (i OperaGX) i Brave.
Ovo je drugi put da je uočeno da lažne CapCut web stranice isporučuju malver za krađu. U maju 2023. Cyble je otkrio dva različita lanca napada koji su koristili softver kao mamac da prevare nesuđene korisnike da pokrenu Offx Stealer i RedLine Stealer.
Događaji daju sliku ekosistema kibernetičkog kriminala koji se stalno razvija, sa infekcijama kradljivaca koji djeluju kao primarni početni vektor napada koji koriste hakeri da se infiltriraju u organizacije i provode akcije nakon eksploatacije.
Stoga nije iznenađujuće da se hakeri pridružuju novom trendu kako bi pokrenuli nove vrste malicioznog softvera kao što je Prysmax koji uključuje švicarski vojni nož funkcionalnosti koje omogućavaju njihovim klijentima da maksimizuju svoj doseg i učinak.
“Malware baziran na Pythonu se pakira pomoću Pyinstaller-a, koji se može koristiti za spajanje malicioznog koda i svih njegovih ovisnosti u jednu izvršnu datoteku”, rekao je Cyfirma. “Malware za krađu informacija fokusiran je na onemogućavanje Windows Defendera, manipulisanje njegovim postavkama i konfigurisanje vlastitog odgovora na prijetnje.”
“Također pokušava da smanji svoju sljedivost i zadrži uporište na kompromitovanom sistemu. Čini se da je malware dobro dizajniran za krađu podataka i eksfiltraciju, dok izbjegava otkrivanje pomoću sigurnosnih alata, kao i sandboxova za dinamičku analizu.”
Izvor: The Hacker News