Исследователи безопасности из Zscaler ThreatLabz обнаружилиновый загрузчик вредоносного ПО под названием HijackLoader, который был впервые замечен в июле 2023 года и позволяет доставлять полезные нагрузки DanaBot, SystemBC и RedLine Stealer.
Несмотря на отсутствие продвинутых функций, загрузчик использует модульную архитектуру для инъекции и выполнения кода, что является редкостью для большинства загрузчиков.
HijackLoader применяет несколько методов для обхода систем безопасности, включая использование системных вызовов для уклонения от мониторинга, а также отложенное выполнение кода на различных этапах до 40 секунд. Постоянство на скомпрометированном хосте достигается путем создания LNK-ярлыка в папке автозагрузки Windows, который указывает на задание Фоновой интеллектуальной службы передачи (Background Intelligent Transfer Service, BITS ).
Точный вектор заражения HijackLoader на данный момент неизвестен. Несмотря на аспекты антианализа, загрузчик включается в основной инструментальный модуль, который обеспечивает гибкое внедрение и выполнение кода с использованием встроенных модулей.
Обнаружение HijackLoader произошло на фоне того, как недавно стало известно, что вредоносное ПО Chaes, широко известное хищением финансовой информации у пользователей электронной коммерции в Латинской Америке, претерпело серьёзные изменения и вернулось в строй . Chaes был полностью переписан на языке Python, что позволило снизить вероятность обнаружения традиционными системами защиты. Также был переработан протокол связи с командным сервером.
Также напомним, что в июле 2023 года японская команда по чрезвычайным ситуациям в компьютерной безопасности (JPCERT) обнаружила новый тип кибератак , в котором используются так называемые “полиглот файлы”. Они объединяют в себе признаки PDF и Word документов, что позволяет легко обходить системы безопасности.