HijackLoader

La implementación de HijackLoader por parte de actores de amenazas se ha vuelto cada vez más frecuente debido a su eficacia para inyectar código malicioso en procesos legítimos, facilitando la ejecución discreta de cargas útiles. Esta técnica les permite evitar la detección mediante el uso de aplicaciones confiables para actividades inseguras, creando un entorno más desafiante para que las medidas de seguridad identifiquen y contrarresten la amenaza de manera efectiva. Las observaciones de los investigadores revelan casos en los que HijackLoader (también conocido como IDAT Loader) emplea técnicas sofisticadas para eludir la detección.

HijackLoader exhibe capacidades amenazadoras evolucionadas

Los investigadores han identificado la evolución de HijackLoader, incorporando nuevas técnicas de evasión de defensa, como el vaciado de procesos, la activación activada por tuberías y una combinación de duplicación de procesos. Estas mejoras mejoran su sigilo y complejidad, lo que hace que el análisis sea más desafiante. Además, el malware emplea técnicas de desenganche adicionales, lo que contribuye aún más a sus capacidades evasivas.

El sofisticado HijackLoader inicia sus operaciones a través de streaming_client.exe, que ofusca una configuración para frustrar el análisis estático. Utilizando las API de WinHTTP, prueba la conectividad a Internet accediendo a https://nginx.org. Tras una conexión exitosa, recupera una configuración de segunda etapa de un servidor remoto.

Una vez equipado con la configuración de segunda etapa, el malware busca bytes de encabezado PNG y un valor mágico específico. Posteriormente descifra la información mediante XOR y la descomprime mediante la API RtlDecompressBuffer. El siguiente paso consiste en cargar una DLL legítima de Windows especificada en la configuración y escribir el código shell en su sección .text para su ejecución. Emplea Heaven's Gate para eludir los ganchos del modo de usuario e inyecta códigos de shell adicionales en cmd.exe. El shellcode de la tercera etapa inyecta una carga útil final, como una baliza Cobalt Strike , en logagent.exe mediante el proceso de vaciado.

HijackLoader emplea varias estrategias de evasión, incluida la omisión del gancho Heaven's Gate y la desconexión de archivos DLL monitoreados por herramientas de seguridad. Utiliza variaciones de vaciado de proceso y vaciado de transacción para inyección, combinando sección de transacción y duplicación de proceso con vaciado de DLL para evadir aún más la detección.

HijackLoader está equipado con múltiples técnicas antidetección

Las principales técnicas de evasión empleadas por HijackLoader y Shellcode incluyen:

• Omisión de gancho:
• La puerta del cielo
• Desenganchar
• Variación del proceso de vaciado
• Variación de vaciado del proceso interactivo:

• Análisis de artesanía

• Hollowing transaccionado (Sección transaccional/Doppelgänger + Hollowing)

• Ahuecamiento de sección transada

• Proceso de vaciado

La utilización de HijackLoader subraya la importancia crítica de las medidas proactivas de ciberseguridad para identificar y prevenir este tipo de ataques subrepticios.

Las organizaciones deben poner énfasis en las auditorías de seguridad de rutina, implementar una protección sólida de los endpoints y mantenerse informadas sobre las amenazas emergentes para defenderse eficazmente de las tácticas en evolución empleadas por actores imprudentes.

Además de estas medidas, la educación y la sensibilización de los usuarios desempeñan un papel crucial a la hora de mitigar los riesgos asociados a estos sofisticados vectores de ataque.