Nova versão do Hijack Loader implementa falsificação de pilha e evasão de antivírus

Pesquisadores de cibersegurança descobriram uma versão atualizada do Hijack Loader, um carregador de malware que agora incorpora novos recursos para evitar a detecção e manter persistência em sistemas comprometidos.

“O Hijack Loader lançou um novo módulo que implementa a falsificação da pilha de chamadas, ocultando a origem de chamadas de função (como APIs e chamadas de sistema)”, explicou Muhammed Irfan V A, pesquisador da Zscaler ThreatLabz. “Além disso, foi adicionado um módulo de verificação anti-VM, capaz de detectar ambientes de análise de malware e sandboxes.”

Descoberto inicialmente em 2023, o Hijack Loader é capaz de entregar cargas maliciosas secundárias, como malwares ladrões de informações. Ele conta com diversos módulos para burlar softwares de segurança e injetar código malicioso. É monitorado pela comunidade de cibersegurança sob os nomes DOILoader, GHOSTPULSE, IDAT Loader e SHADOWLADDER.

Em outubro de 2024, as empresas HarfangLab e Elastic Security Labs detalharam campanhas do Hijack Loader que utilizaram certificados de assinatura de código legítimos e a já conhecida estratégia ClickFix para disseminação do malware.

A versão mais recente do loader traz melhorias significativas, com destaque para a falsificação da pilha de chamadas como técnica de evasão. Essa abordagem também foi adotada recentemente por outro loader chamado CoffeeLoader. A técnica manipula os ponteiros EBP para simular frames de pilha legítimos, ocultando assim chamadas maliciosas.

Tal como em versões anteriores, o Hijack Loader utiliza a técnica Heaven’s Gate para executar syscalls de 64 bits e realizar injeção de processo. Outras novidades incluem a inclusão de processos como “avastsvc.exe” na lista de bloqueios, atrasando sua execução por cinco segundos, além de dois novos módulos: ANTIVM, para detectar máquinas virtuais, e modTask, que configura tarefas agendadas para manter persistência.

As descobertas mostram que o Hijack Loader continua sendo mantido ativamente por seus operadores, com o objetivo de dificultar sua análise e detecção por ferramentas de segurança.

SHELBY: Malware Utiliza GitHub para Comando e ControlePesquisadores da Elastic Security Labs identificaram uma nova família de malware chamada SHELBY, que utiliza o GitHub para realizar comunicações de comando e controle (C2), exfiltração de dados e controle remoto. A campanha, rastreada como REF8685, tem início com um e-mail de phishing que distribui um arquivo ZIP contendo um binário .NET. Esse binário carrega uma DLL chamada “HTTPService.dll” (conhecida como SHELBYLOADER) por meio de uma técnica de side-loading.

Esse loader se comunica com o GitHub para buscar um valor específico de 48 bytes dentro de um arquivo chamado “License.txt”, hospedado em um repositório controlado pelos hackers. Esse valor serve como chave de descriptografia AES para decodificar a carga principal do backdoor (“HTTPApi.dll”), que é então carregada diretamente na memória, sem deixar rastros visíveis no disco.

O SHELBYLOADER também possui técnicas de detecção de sandbox e, uma vez executado, envia os resultados dessas verificações de volta ao GitHub em forma de logs. O backdoor SHELBYC2 interpreta comandos listados em outro arquivo (“Command.txt”) para baixar ou enviar arquivos, carregar binários .NET de forma refletida e executar comandos PowerShell. O controle C2 é feito via commits em repositórios privados do GitHub, utilizando Personal Access Tokens (PAT) embutidos no binário, o que representa um risco, pois qualquer pessoa que obtenha esse token pode acessar os comandos e dados da vítima.

Campanhas com SmokeLoader Utilizam Arquivos 7-ZipCampanhas de phishing com temas de pagamento também foram observadas distribuindo uma família de loader chamada Emmenhtal (também conhecida como PEAKLIGHT), que serve como vetor de entrega para o malware SmokeLoader.

Segundo a empresa GDATA, uma das táticas utilizadas pelo SmokeLoader nessa campanha é a aplicação do .NET Reactor, uma ferramenta comercial usada para proteger e ofuscar código .NET. Embora o SmokeLoader costume usar protetores como Themida, Enigma Protector e crypters personalizados, o uso do .NET Reactor está se tornando comum entre stealers e loaders devido à sua forte resistência à análise.

Via - THN