La nueva versión de HijackLoader utiliza evasión de amenazas avanzada
Los actores de amenazas aprovechan la potencia de HijackLoader como una herramienta sólida para incorporar código malicioso en procesos legítimos, facilitando la ejecución discreta de cargas útiles. Este método les permite evitar la detección empleando aplicaciones confiables para llevar a cabo acciones dañinas. Esta complejidad plantea desafíos para que las medidas de seguridad reconozcan y contrarresten eficazmente la amenaza.
Recientemente, los investigadores de ciberseguridad de CrowdStrike descubrieron una versión de HijackLoader (también conocido como IDAT Loader) que emplea técnicas avanzadas para eludir la detección. Los investigadores de CrowdStrike identificaron la evolución de HijackLoader, incorporando nuevas estrategias de evasión de defensa, como el vaciado de procesos, la activación activada por tuberías y una combinación de duplicación de procesos. Estos refinamientos mejoran su sigilo y lo hacen más resistente al análisis, acompañado del descubrimiento de técnicas de desenganche adicionales.
HijackLoader evade la detección
CrowdStrike reveló una muestra sofisticada de HijackLoader, que se inicia con streaming_client.exe. Este ejemplo ofusca una configuración para eludir el análisis estático y, utilizando las API de WinHTTP, prueba la conectividad a Internet comunicándose con https[:]//nginx[.]org. Tras una conexión exitosa, descarga una configuración de segunda etapa desde un servidor remoto.
Al obtener la configuración de la segunda etapa, el malware busca bytes de encabezado PNG y un valor mágico, descifrando usando XOR y descomprimiendo con la API RtlDecompressBuffer. Posteriormente, carga una DLL legítima de Windows especificada en la configuración y escribe el código shell en su sección .text para su ejecución. Al emplear Heaven's Gate para evitar los ganchos del modo de usuario, el malware inyecta códigos shell adicionales en cmd.exe. Luego, el código shell de la tercera etapa inyecta una carga útil final, como una baliza Cobalt Strike, en logagent.exe mediante el vaciado de procesos.
HijackLoader emplea varias tácticas de evasión, incluida la omisión del gancho Heaven's Gate y la desconexión de archivos DLL monitoreados por herramientas de seguridad. Además, utiliza variaciones de proceso de vaciado y vaciado transaccionado para inyección, lo que lo convierte en un desafío formidable para la detección.