最新的Hijack Loader恶意软件加载程序利用进程空洞和UAC绕过传播各种恶意软件

阅读量25944

发布时间 : 2024-05-09 10:28:06

人们观察到,名为Hijack Loader的恶意软件加载程序的新版本包含了一套更新的反分析技术,可以在雷达下运行。

Zscaler ThreatLabz 研究员 Muhammed Irfan VA在一份技术报告中表示: “这些增强功能旨在提高恶意软件的隐蔽性,从而在更长的时间内保持不被发现。”

“Hijack Loader 现在包含的模块可添加 Windows Defender 防病毒排除项、绕过用户帐户控制 (UAC)、规避安全软件经常用于检测的内联 API 挂钩,以及采用进程空洞。”

Hijack Loader(也称为 IDAT Loader)是一种恶意软件加载程序,由网络安全公司于 2023 年 9 月首次记录。在接下来的几个月里,该工具已被用作传播各种恶意软件系列的渠道。

其中包括 Amadey、Lumma Stealer(又名 LummaC2)、Meta Stealer、Racoon Stealer V2、Remcos RAT 和 Rhadamanthys。

最新版本的引人注目之处在于,它解密并解析 PNG 图像以加载下一阶段的有效负载,这项技术最初是由 Morphisec 在针对总部位于芬兰的乌克兰实体的活动中详细介绍的。

根据 Zscaler,加载程序配备了第一阶段,负责从嵌入其中或根据恶意软件的配置单独下载的 PNG 图像中提取和启动第二阶段。

“第二级的主要目的是注入主仪器模块,”伊尔凡解释道。 “为了提高隐秘性,装载机的第二阶段采用了更多使用多个模块的反分析技术。”

劫持加载器恶意软件

2024 年 3 月和 4 月在野外检测到的劫持加载程序工件还包含多达七个新模块,以帮助创建新进程、执行 UAC 绕过以及通过 PowerShell 命令添加 Windows Defender 防病毒排除项。

正如CrowdStrike 于 2024 年 2 月披露的那样,该恶意软件利用 Heaven’s Gate 技术来规避用户模式挂钩,这进一步增强了该恶意软件的隐蔽性。

“Amadey 是 HijackLoader 最常交付的家庭,”Irfan 说。 “第二阶段的加载涉及使用嵌入的 PNG 图像或从网络下载的 PNG 图像。此外,新模块已集成到 HijackLoader 中,增强了其功能并使其更加强大。”

这一进展正值恶意软件活动通过恶意广告和网络钓鱼攻击分发不同的恶意软件加载程序系列,如DarkGate、FakeBat(又名 EugenLoader)、GuLoader之际。

它还出现了一种名为 TesseractStealer 的信息窃取程序,该程序由ViperSoftX分发,并利用开源 Tesseract 光学字符识别 (OCR) 引擎从图像文件中提取文本。

博通旗下的赛门铁克表示: “该恶意软件专注于与凭证和加密货币钱包信息相关的特定数据。” “除了 TesseractStealer 之外,最近的一些 ViperSoftX 运行也被观察到从 Quasar RAT 恶意软件家族中删除了另一个有效负载。”

本文转载自:

如若转载,请注明出处: https://thehackernews.com/2024/05/hijack-loader-malware-employs-process.html

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66