Уникальные методы уклонения и функции вредоносного ПО - новую угрозу не стоит недооценивать.
Исследователи безопасности из Zscaler ThreatLabz Для просмотра ссылки Войдиили Зарегистрируйся новый загрузчик вредоносного ПО под названием HijackLoader, который был впервые замечен в июле 2023 года и позволяет доставлять полезные нагрузки DanaBot , SystemBC и RedLine Stealer.
Несмотря на отсутствие продвинутых функций, загрузчик использует модульную архитектуру для инъекции и выполнения кода, что является редкостью для большинства загрузчиков.
HijackLoader применяет несколько методов для обхода систем безопасности, включая использование системных вызовов для уклонения от мониторинга, а также отложенное выполнение кода на различных этапах до 40 секунд. Постоянство на скомпрометированном хосте достигается путем создания LNK-ярлыка в папке автозагрузки Windows, который указывает на задание Фоновой интеллектуальной службы передачи (Background Intelligent Transfer Service, Для просмотра ссылки Войдиили Зарегистрируйся ).
Точный вектор заражения HijackLoader на данный момент неизвестен. Несмотря на аспекты антианализа, загрузчик включается в основной инструментальный модуль, который обеспечивает гибкое внедрение и выполнение кода с использованием встроенных модулей.
Обнаружение HijackLoader произошло на фоне того, как недавно стало известно, что вредоносное ПО Chaes, широко известное хищением финансовой информации у пользователей электронной коммерции в Латинской Америке, Для просмотра ссылки Войдиили Зарегистрируйся . Chaes был полностью переписан на языке Python, что позволило снизить вероятность обнаружения традиционными системами защиты. Также был переработан протокол связи с командным сервером.
Также напомним, что в июле 2023 года японская команда по чрезвычайным ситуациям в компьютерной безопасности (JPCERT) Для просмотра ссылки Войдиили Зарегистрируйся , в котором используются так называемые «полиглот файлы». Они объединяют в себе признаки PDF и Word документов, что позволяет легко обходить системы безопасности.
Исследователи безопасности из Zscaler ThreatLabz Для просмотра ссылки Войди
Несмотря на отсутствие продвинутых функций, загрузчик использует модульную архитектуру для инъекции и выполнения кода, что является редкостью для большинства загрузчиков.
HijackLoader применяет несколько методов для обхода систем безопасности, включая использование системных вызовов для уклонения от мониторинга, а также отложенное выполнение кода на различных этапах до 40 секунд. Постоянство на скомпрометированном хосте достигается путем создания LNK-ярлыка в папке автозагрузки Windows, который указывает на задание Фоновой интеллектуальной службы передачи (Background Intelligent Transfer Service, Для просмотра ссылки Войди
Точный вектор заражения HijackLoader на данный момент неизвестен. Несмотря на аспекты антианализа, загрузчик включается в основной инструментальный модуль, который обеспечивает гибкое внедрение и выполнение кода с использованием встроенных модулей.
Обнаружение HijackLoader произошло на фоне того, как недавно стало известно, что вредоносное ПО Chaes, широко известное хищением финансовой информации у пользователей электронной коммерции в Латинской Америке, Для просмотра ссылки Войди
Также напомним, что в июле 2023 года японская команда по чрезвычайным ситуациям в компьютерной безопасности (JPCERT) Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru