Un nuovo loader di malware chiamato HijackLoader sta guadagnando popolarità nella comunità dei cybercriminali, utilizzato per distribuire vari payload come DanaBot, SystemBC e RedLine Stealer. Nonostante non disponga di funzionalità avanzate, è in grado di utilizzare una varietà di moduli per l’iniezione e l’esecuzione di codice, grazie alla sua architettura modulare, una caratteristica che molti loader non possiedono. Ecco i dettagli su questa minaccia emergente.
Dettagli sul HijackLoader
Il HijackLoader è stato osservato per la prima volta nel luglio 2023 e impiega una serie di tecniche per rimanere sotto il radar, evitando il monitoraggio delle soluzioni di sicurezza attraverso l’uso di syscalls, monitorando i processi associati al software di sicurezza basandosi su una blocklist incorporata, e ritardando l’esecuzione del codice fino a 40 secondi in diverse fasi. Attualmente, non è noto il vettore di accesso iniziale utilizzato per infiltrarsi nei target. Nonostante gli aspetti anti-analisi, il loader include un modulo principale di strumentazione che facilita l’iniezione flessibile del codice e l’esecuzione utilizzando moduli incorporati.
Il malware riesce a mantenere la persistenza sul sistema compromesso creando un file di collegamento (LNK) nella cartella di avvio di Windows e puntandolo a un lavoro del servizio BITS (Background Intelligent Transfer Service). “HijackLoader è un loader modulare con tecniche di evasione, che fornisce una varietà di opzioni di caricamento per payload malevoli”, ha dichiarato Nikolaos Pantazopoulos, ricercatore di Zscaler ThreatLabz. Tuttavia, ha sottolineato che “non ha funzionalità avanzate e la qualità del codice è scarsa”.
Ulteriori sviluppi nel panorama delle minacce
Questa rivelazione arriva mentre Flashpoint ha divulgato dettagli su una versione aggiornata di un malware ruba-informazioni chiamato RisePro, precedentemente distribuito tramite un servizio di downloader di malware pay-per-install chiamato PrivateLoader. RisePro, scritto in C++, è progettato per raccogliere informazioni sensibili sulle macchine infette e trasmetterle a un server di comando e controllo sotto forma di log.
Inoltre, è stata scoperta una nuova minaccia che sfrutta Node.js, distribuita attraverso annunci Facebook ingannevoli e siti web fasulli che impersonano l’editor video CapCut di ByteDance. Questo stealer, una volta eseguito, ruba cookies e credenziali da diversi browser basati su Chromium, inviando i dati al server C&C e a un bot di Telegram.