HijackLoader Evolves: Ricercatori Scoprono gli Ultimi Metodi di Evasione
Gli attori minacciosi dietro al malware di caricamento noto come HijackLoader hanno introdotto nuove tecniche per sfuggire alla difesa, poiché il malware continua a essere sempre più sfruttato da altri criminali informatici per diffondere ulteriori carichi dannosi e strumenti.
Secondo un’analisi condotta mercoledì dagli esperti di CrowdStrike Donato Onofri ed Emanuele Calvelli, il developer del malware ha adottato una tecnica standard di process hollowing, combinata con un trigger aggiuntivo attivato dal processo genitore tramite la scrittura su una pipe. Questo nuovo approccio potrebbe rendere l’evasione della difesa ancora più furtiva.
HijackLoader è stato inizialmente identificato da Zscaler ThreatLabz nel settembre 2023 come un veicolo per la diffusione di malware come DanaBot, SystemBC e RedLine Stealer. Il malware è anche noto per la sua stretta somiglianza con un altro caricatore chiamato IDAT Loader.
Entrambi i caricatori sono stati attribuiti allo stesso gruppo di criminalità informatica. Nel corso dei mesi successivi, HijackLoader è stato distribuito tramite ClearFake ed è stato utilizzato da TA544 (noto anche come Narwhal Spider, Gold Essex e Ursnif Gang) per diffondere il RAT Remcos e SystemBC tramite messaggi di phishing.
Liviu Arsene, direttore della ricerca e della segnalazione delle minacce presso CrowdStrike, ha paragonato i caricatori a “lupi travestiti da pecore”, sottolineando che il loro obiettivo è introdurre minacce sofisticate. Arsene ha osservato che questa recente variante di HijackLoader, anche conosciuta come IDAT Loader, ha raffinato le sue capacità di evasione, rendendo il malware più difficile da rilevare e analizzare.
Il meccanismo di attacco di HijackLoader si avvia con un eseguibile chiamato “streaming_client.exe”, che verifica la connessione a Internet e scarica una configurazione di secondo stadio da un server remoto. Successivamente, l’eseguibile carica una libreria dinamica legittima (DLL) specificata nella configurazione per attivare il codice di shell responsabile del caricamento del payload di HijackLoader tramite una combinazione di tecniche di process doppelgänging e process hollowing.
I ricercatori hanno anche osservato che HijackLoader utilizza il trucco furtivo chiamato “Heaven’s Gate”, che consente al malware di eludere i prodotti di sicurezza degli endpoint eseguendo codice a 64 bit in processi a 32 bit su Windows, bypassando gli hook della modalità utente.
Una delle tecniche di evasione principali osservate nelle sequenze di attacco di HijackLoader è l’utilizzo di un meccanismo di iniezione di processo chiamato hollowing transazionale, precedentemente osservato in malware come il trojan bancario Osiris.
In conclusione, gli investimenti nelle capacità di evasione della difesa per HijackLoader indicano un tentativo deliberato di renderlo più furtivo e di eludere le tradizionali soluzioni di sicurezza. Queste nuove tecniche evidenziano un’evoluzione delle capacità di evasione della difesa e aumentano la complessità dell’analisi per i ricercatori delle minacce.