Die Bedrohungsakteure hinter einer Malware namens HijackLoader haben neue Techniken zur Verteidigungsvermeidung hinzugefügt, da die Malware weiterhin zunehmend von anderen Bedrohungsakteuren verwendet wird, um zusätzliche Nutzlasten und Werkzeuge zu liefern.
Die CrowdStrike-Forscher Donato Onofri und Emanuele Calvelli erklärten in einer Analyse am Mittwoch: „Der Malware-Entwickler verwendete eine Standard-Process-Hollowing-Technik in Verbindung mit einem zusätzlichen Trigger, der vom übergeordneten Prozess durch Schreiben in eine Pipe aktiviert wurde.“ „Dieser neue Ansatz hat das Potenzial, die Verteidigungsvermeidung heimlicher zu machen.“
HijackLoader wurde erstmals im September 2023 von Zscaler ThreatLabz dokumentiert und wurde als Leitfaden für DanaBot, SystemBC und RedLine Stealer verwendet. Es ist auch bekannt, dass es eine hohe Ähnlichkeit mit einem anderen Loader namens IDAT Loader aufweist.
Beide Loader werden von derselben Cybercrime-Gruppe betrieben. Im Laufe der Monate wurde HijackLoader über ClearFake verbreitet und von TA544 (alias Narwal Spider, Gold Essex und Ursnif Gang) genutzt, um Remcos RAT und SystemBC über Phishing-Nachrichten zu liefern.
Laut Liviu Arsene, Direktor für Bedrohungsrecherche und Berichterstattung bei CrowdStrike, sind Loader wie Wölfe im Schafspelz. Ihre Aufgabe besteht darin, sich einzuschleichen, anspruchsvollere Bedrohungen und Werkzeuge einzuführen und auszuführen.
Der Startpunkt der mehrstufigen Angriffskette ist eine ausführbare Datei („streaming_client.exe“), die eine aktive Internetverbindung überprüft und dann eine Konfiguration der zweiten Stufe von einem Remote-Server herunterlädt.
Die ausführbare Datei lädt eine legitime Dynamic-Link Library (DLL) aus der Konfiguration, um über eine Kombination aus Process Doppelgänging und Process Hollowing-Techniken Shellcode zu aktivieren, der das HijackLoader-Payload startet und damit die Komplexität der Analyse und die Verteidigungsvermeidungsfähigkeiten erhöht.
Die Forscher erklärten: „Der HijackLoader-Shellcode der zweiten Stufe in einer unabhängigen Position führt dann einige Vermeidungsaktivitäten durch, um Benutzermodus- Hooks mit Heaven’s Gate zu umgehen, und injiziert anschließend weiteren Shellcode in cmd.exe.“
Heaven’s Gate bezieht sich auf einen trickreichen Trick, der bösartiger Software ermöglicht, Endpunkt-Sicherheitsprodukte zu umgehen, indem 64-Bit-Code in 32-Bit-Prozessen in Windows ausgeführt wird, was Benutzermodus-Hooks effektiv umgeht.
Eine der Schlüsseltechniken der Verteidigungsvermeidung, die in HijackLoader-Angriffssequenzen beobachtet wurde, ist die Verwendung eines Prozessinjektionsmechanismus namens transacted Hollowing, der zuvor bei Malware wie dem Osiris-Banking-Trojaner beobachtet wurde.
„Lader sollen als heimliche Startplattformen für Angreifer dienen, um anspruchsvollere Malware und Werkzeuge einzuführen und auszuführen, ohne in den ersten Stadien ihre Assets zu verbrennen“, sagte Arsene. „Die Investition in neue Verteidigungsvermeidungsfähigkeiten für HijackLoader (alias IDAT Loader) ist möglicherweise ein Versuch, ihn heimlicher zu machen und unter dem Radar herkömmlicher Sicherheitslösungen zu fliegen. Die neuen Techniken signalisieren eine beabsichtigte und experimentelle Weiterentwicklung der bestehenden Verteidigungsvermeidungsfähigkeiten und erhöhen gleichzeitig die Komplexität der Analyse für Bedrohungsforscher.“