Cybersecurity -onderzoekers hebben een bijgewerkte versie ontdekt van een malware -lader genaamd Hijack Loader die nieuwe functies implementeert om detectie te ontwijken en persistentie vast te stellen op gecompromitteerde systemen.
“Kaplader heeft een nieuwe module uitgebracht die call -stack -spoofing implementeert om de oorsprong van functieaanroepen te verbergen (bijv. API en systeemoproepen),” zei ZScaler Threatlabz -onderzoeker Muhammed Irfan VA in een analyse. “Kaplader heeft een nieuwe module toegevoegd om anti-VM-controles uit te voeren om malware-analyses en sandboxen te detecteren.”
Kaplader, voor het eerst ontdekt in 2023, biedt de mogelijkheid om payloads in de tweede fase te leveren, zoals malware voor informatie-stealer. Het wordt ook geleverd met verschillende modules om beveiligingssoftware te omzeilen en schadelijke code te injecteren. Kaplader wordt gevolgd door de bredere cybersecurity -gemeenschap onder de namen Doiloader, Ghostpulse, IDAT -lader en ShadoLladder.
In oktober 2024 gedetailleerde campagnes Harfanglab en Elastic Security Labs gedetailleerde kapladercampagnes die legitieme code-ondertekenende certificaten benutten, evenals de beruchte ClickFix-strategie voor het distribueren van de malware.
De nieuwste iteratie van de lader wordt geleverd met een aantal verbeteringen ten opzichte van zijn voorganger, de meest opvallende is de toevoeging van call -stack spoofing als een ontwijkingstactiek om de oorsprong van API- en systeemoproepen te verbergen, een methode die onlangs ook wordt omarmd door een andere malware -lader die bekend staat als Coffeeloader.
“Deze techniek maakt gebruik van een keten van EBP -aanwijzingen om de stapel te doorkruisen en de aanwezigheid van een kwaadwillende oproep in de stapel te verbergen door werkelijke stapelframes te vervangen door gefabriceerde,” zei ZScaler.
Net als bij eerdere versies, maakt de kaplader de Hemel’s Gate-techniek gebruik om 64-bit directe syscalls uit te voeren voor procesinjectie. Andere wijzigingen omvatten een revisie in de lijst met blocklisted -processen met “avastsvc.exe”, een component van avast -antivirus, om de uitvoering met vijf seconden uit te stellen.
De malware bevat ook twee nieuwe modules, namelijk ANTIVM voor het detecteren van virtuele machines en ModTask voor het instellen van persistentie via geplande taken.
Uit de bevindingen blijkt dat kaplader kaplader actief wordt onderhouden door de operators met de bedoeling analyse en detectie te compliceren.
Shelby Malware gebruikt GitHub voor command-and-control
De ontwikkeling komt als Elastic Security Labs gedetailleerd een nieuwe malware-familie die Shelby noemt die GitHub gebruikt voor command-and-control (C2), data-exfiltratie en afstandsbediening. De activiteit wordt gevolgd als Ref8685.
De aanvalsketen omvat het gebruik van een phishing-e-mail als uitgangspunt om een zip-archief te distribueren dat een .NET-binairijn bevat dat wordt gebruikt om een DLL-lader te uitvoeren die wordt gevolgd als ShelbyLoader (“httpservice.dll”) via DLL Side-loading. De e-mailberichten werden afgeleverd aan een in Irak gevestigd telecommunicatiebedrijf via een zeer gerichte phishing-e-mail verzonden vanuit de beoogde organisatie.
De lader initieert vervolgens communicatie met GitHub voor C2 om een specifieke waarde van 48 byte te extraheren uit een bestand met de naam “licentie.txt” in de door aanvallers gecontroleerde repository. De waarde wordt vervolgens gebruikt om een AES -decoderingssleutel te genereren en de belangrijkste backdoor -lading te ontcijferen (“httpapi.dll”) en deze in het geheugen laden zonder detecteerbare artefacten op schijf achter te laten.
“ShelbyLoader maakt gebruik van sandbox -detectietechnieken om gevirtualiseerde of gecontroleerde omgevingen te identificeren,” zei Elastic. “Eenmaal uitgevoerd, verzendt het de resultaten terug naar C2. Deze resultaten zijn verpakt als logbestanden, met details of elke detectiemethode met succes een sandbox -omgeving heeft geïdentificeerd.”
De ShelbyC2 -achterdeur, van zijn deel, parses -opdrachten vermeld in een ander bestand met de naam “Command.txt” om bestanden te downloaden/uploaden van/naar een Github -repository, laad een .NET binary reflectief en voerden PowerShell -opdrachten uit. Wat hier opmerkelijk is, is dat de C2 -communicatie plaatsvindt door middel van commits naar de privérepository door gebruik te maken van een persoonlijke toegang token (PAT).
“De manier waarop de malware is ingesteld, betekent dat iedereen met de PAT (Personal Access Token) theoretisch opdrachten kan ophalen die door de aanvaller worden verzonden en opdrachtuitgangen van elke slachtoffermachine kunnen openen,” zei het bedrijf. “Dit komt omdat het PAT -token is ingebed in het binaire getal en kan worden gebruikt door iedereen die het verkrijgt.”
Emmenhtal verspreidt Smokeloader via 7-ZIP-bestanden
PHIBISH-e-mails met een door betalingsthema met kunstaas zijn ook waargenomen bij het leveren van een malware-lader-familie codenaam Emmenhtal Loader (AKA Peaklight), die fungeert als een leiding om een andere malware te implementeren die bekend staat als Smokeloader.
“Een opmerkelijke techniek waargenomen in dit Smokeloader -monster is het gebruik van .NET -reactor, een commercieel .NET -beschermingstool dat wordt gebruikt voor obfuscatie en verpakking,” zei GDATA.
“Terwijl Smokeloader historisch gebruik heeft gemaakt van packers zoals Themida, Enigma Protector en Custom Crypters, richt het gebruik van .NET-reactor uit met trends die worden gezien in andere malwarefamilies, met name stealers en laders, vanwege de sterke anti-analysemechanismen.”
