Clicky

Nuevo cargador modular de malware causa sensación en el mundo del cibercrimen

HijackLoader

HijackLoader emplea una serie de técnicas para pasar desapercibido

Un nuevo cargador de malware llamado HijackLoader está ganando terreno entre la comunidad cibercriminal para entregar varias cargas útiles como DanaBot, SystemBC y RedLine Stealer.

"Aunque HijackLoader no contiene funciones avanzadas, es capaz de utilizar una variedad de módulos para la inyección y ejecución de código, ya que utiliza una arquitectura modular, una característica que la mayoría de los cargadores no tienen", dijo el investigador de Zscaler ThreatLabz, Nikolaos Pantazopoulos.

Observado por primera vez por la empresa en julio de 2023, el malware emplea una serie de técnicas para pasar desapercibido. Esto implica el uso de llamadas al sistema para evadir el monitoreo de las soluciones de seguridad, monitorear los procesos asociados con el software de seguridad basándose en una lista de bloqueo integrada y posponer la ejecución del código hasta 40 segundos en diferentes etapas.

Actualmente se desconoce el vector de acceso inicial exacto utilizado para infiltrarse en los objetivos. A pesar de los aspectos anti-análisis, el cargador se incluye en un módulo de instrumentación principal que facilita la inyección y ejecución de código flexible utilizando módulos integrados.

La persistencia en el host comprometido se logra creando un archivo de acceso directo (LNK) en la carpeta de inicio de Windows y apuntándolo a un trabajo del Servicio de transferencia inteligente en segundo plano (BITS).

"HijackLoader es un cargador modular con técnicas de evasión, que proporciona una variedad de opciones de carga para cargas maliciosas", dijo Pantazopoulos. "Además, no tiene funciones avanzadas y la calidad del código es mala".

La divulgación se produce cuando Flashpoint reveló detalles de una versión actualizada de un malware de robo de información conocido como RisePro que se distribuía previamente a través de un servicio de descarga de malware de pago por instalación (PPI) denominado PrivateLoader.

"El vendedor afirmó en sus anuncios que habían tomado los mejores aspectos de 'RedLine' y 'Vidar' para crear un poderoso ladrón", señaló Flashpoint. "Y esta vez, el vendedor también promete una nueva ventaja para los usuarios de RisePro: los clientes alojan sus propios paneles para garantizar que los vendedores no roben los registros".

RisePro, escrito en C++, está diseñado para recopilar información confidencial en máquinas infectadas y exfiltrarla a un servidor de comando y control (C&C) en forma de registros. Se puso a la venta por primera vez en diciembre de 2022.

También sigue al descubrimiento de un nuevo ladrón de información escrito en Node.js que está empaquetado en un ejecutable y distribuido a través de anuncios maliciosos de Facebook con el tema Large Language Model (LLM) y sitios web falsos que se hacen pasar por el editor de video CapCut de ByteDance.

"Cuando se ejecuta el ladrón, ejecuta su función principal que roba cookies y credenciales de varios navegadores web basados en Chromium, luego filtra los datos al servidor C&C y al bot de Telegram", dijo el investigador de seguridad Jaromir Horejsi.

"También suscribe al cliente al servidor C&C que ejecuta GraphQL. Cuando el servidor C&C envía un mensaje al cliente, la función de robo se ejecutará nuevamente". Los navegadores objetivo incluyen Google Chrome, Microsoft Edge, Opera (y OperaGX) y Brave.

Esta es la segunda vez que se observa que sitios web falsos de CapCut entregan malware ladrón. En mayo de 2023, Cyble descubrió dos diferentes cadenas de ataques que aprovechaban el software como señuelo para engañar a usuarios desprevenidos para que ejecutaran Offx Stealer y RedLine Stealer.

Los acontecimientos pintan una imagen de un ecosistema de ciberdelincuencia en constante evolución, en el que las infecciones por ladrones actúan como principal vector de ataque inicial utilizado por los actores de amenazas para infiltrarse en las organizaciones y llevar a cabo acciones posteriores a la explotación.

Por lo tanto, no es sorprendente que los actores de amenazas se suban al tren para generar nuevas cepas de malware ladrón como Prysmax, que incorporan una navaja suiza de funcionalidades que permiten a sus clientes maximizar su alcance e impacto.

"El malware basado en Python está empaquetado usando Pyinstaller, que puede usarse para agrupar el código malicioso y todas sus dependencias en un único ejecutable", dijo Cyfirma. "El malware que roba información se centra en desactivar Windows Defender, manipular su configuración y configurar su propia respuesta a las amenazas".

"También intenta reducir su trazabilidad y mantener un punto de apoyo en el sistema comprometido. El malware parece estar bien diseñado para el robo y la exfiltración de datos, al tiempo que evade la detección por parte de herramientas de seguridad y zonas de pruebas de análisis dinámico".

Jesus_Caceres