Hijack Loader Malware maakt gebruik van Process Hollowing en UAC Bypass in de nieuwste versie

Een nieuwere versie van een malware-lader genaamd Kaping-lader Er is waargenomen dat er een bijgewerkte reeks anti-analysetechnieken is geïntegreerd om onder de radar te blijven.

“Deze verbeteringen zijn bedoeld om de stealthiteit van de malware te vergroten, waardoor ze voor langere tijd onopgemerkt blijven”, zegt Zscaler ThreatLabz-onderzoeker Muhammed Irfan VA in een technisch rapport.

“Hijack Loader bevat nu modules om een ​​uitsluiting voor Windows Defender Antivirus toe te voegen, Gebruikersaccountbeheer (UAC) te omzeilen, inline API-hooking te omzeilen die vaak door beveiligingssoftware wordt gebruikt voor detectie, en procesuitholling toe te passen.”

Hijack Loader, ook wel IDAT Loader genoemd, is een malware-lader die voor het eerst werd gedocumenteerd door het cyberbeveiligingsbedrijf in september 2023. In de tussenliggende maanden is de tool gebruikt als kanaal om verschillende malwarefamilies te leveren.

Dit omvat Amadey, Lumma Stealer (ook bekend als LummaC2), Meta Stealer, Racoon Stealer V2, Remcos RAT en Rhadamanthys.

Wat de nieuwste versie opmerkelijk maakt, is het feit dat deze een PNG-afbeelding decodeert en parseert om de payload van de volgende fase te laden, een techniek die voor het eerst werd beschreven door Morphisec in verband met een campagne gericht op Oekraïense entiteiten in Finland.

De lader is volgens Zscaler uitgerust met een eerste fase, die verantwoordelijk is voor het extraheren en starten van de tweede fase uit een PNG-afbeelding die erin is ingebed of afzonderlijk wordt gedownload op basis van de configuratie van de malware.

“Het belangrijkste doel van de tweede fase is het injecteren van de belangrijkste instrumentatiemodule”, legt Irfan uit. “Om de heimelijkheid te vergroten, maakt de tweede fase van de lader gebruik van meer anti-analysetechnieken met behulp van meerdere modules.”

Hijack Loader-malware

Hijack Loader-artefacten die in maart en april 2024 in het wild zijn gedetecteerd, bevatten ook maar liefst zeven nieuwe modules om nieuwe processen te helpen creëren, UAC-bypass uit te voeren en een Windows Defender Antivirus-uitsluiting toe te voegen via een PowerShell-opdracht.

Wat de stealth van de malware nog vergroot, is het gebruik van de Heaven's Gate-techniek om hooks in de gebruikersmodus te omzeilen, zoals eerder onthuld door CrowdStrike in februari 2024.

“Amadey is de meest geleverde familie door HijackLoader,” zei Irfan. “Het laden van de tweede fase omvat het gebruik van een ingebedde PNG-afbeelding of een PNG-afbeelding gedownload van internet. Bovendien zijn er nieuwe modules geïntegreerd in HijackLoader, waardoor de mogelijkheden ervan zijn verbeterd en deze nog robuuster zijn geworden.”

De ontwikkeling vindt plaats te midden van malwarecampagnes die verschillende malware-loaderfamilies zoals DarkGate, FakeBat (ook bekend als EugenLoader) en GuLoader verspreiden via malvertising en phishing-aanvallen.

Het volgt ook de opkomst van een informatie-diefstaler genaamd TesseractStealer die wordt gedistribueerd door ViperSoftX en gebruik maakt van de open-source Tesseract optische karakterherkenning (OCR)-engine om tekst uit afbeeldingsbestanden te extraheren.

“De malware richt zich op specifieke gegevens met betrekking tot inloggegevens en cryptocurrency-portemonnee-informatie”, aldus Symantec, eigendom van Broadcom. “Naast TesseractStealer is er ook waargenomen dat sommige van de recente ViperSoftX-runs nog een lading uit de Quasar RAT-malwarefamilie verwijderen.”

Thijs Van der Does