Nuevo cargador de malware HijackLoader
Un nuevo cargador de malware llamado HijackLoader está ganando terreno entre la comunidad cibercriminal para entregar varias cargas útiles como DanaBot , SystemBC y RedLine Stealer.
HijackLoader: es capaz de utilizar una variedad de módulos para la inyección y ejecución de código, ya que utiliza una arquitectura modular, una característica que la mayoría de los cargadores no tienen.
DanaBot: Usando la ingenieria social pra recopilar información de sus víctimas se centra en la persistencia y exfiltración de información para luego poder monetizarse.
Funciona en 4 partes:
1. El robot – Se coloca en los sistemas de un objetivo
2. Servidor en línea – Actua como un panel para la funcionalidad RAT de Danabot
3. Y 4. – El cliente y servidor - El cliente opera como una aplicación PE que actúa como un panel para procesar los registros recopilados por el bot y administrarlo.
Syste.BC: es un malware proxy que aprovecha SOCKS5. Basándose en capturas de pantalla utilizadas en anuncios en un mercado clandestino, Proofpoint decidió llamarlo SystemBC.
RedLine Stealer: tiene como objetivo principal las credenciales bancarias, pero que también es capaz de extraer otra información. Su enfoque clave es piratear los navegadores web de las víctimas para recopilar información de cuenta, datos de AutoFill y cualquier otra cosa valiosa que pueda estar ubicada allí.
Esta es la segunda vez que se observa que sitios web falsos de CapCut entregan malware ladrón. En mayo de 2023, Cyble descubrió dos cadenas de ataques diferentes que aprovechaban el software como señuelo para engañar a usuarios desprevenidos para que ejecutaran Offx Stealer y RedLine Stealer.
Cuando se ejecuta el ladrón, ejecuta su función principal que roba cookies y credenciales de varios navegadores web basados en Chromium, luego filtra los datos al servidor C&C y al bot de Telegram, dijo el investigador de seguridad Jaromir Horejsi .
También suscribe al cliente al servidor C&C que ejecuta GraphQL. Cuando el servidor C&C envía un mensaje al cliente, la función de robo se ejecutará nuevamente.
Los navegadores objetivo incluyen Google Chrome, Microsoft Edge, Opera (y OperaGX) y Brave.
El malware se centra en desactivar Windows Defender, manipular su configuración y configurar su propia respuesta a las amenazas.
La primera etapa del malware incluye un conjunto limitado de técnicas de evasión: • Carga dinámica de funciones API de Windows • Conectividad HTTP a un sitio web legítimo • Retraso en la ejecución del código en diferentes etapas.
La segunda etapa HijackLoader localiza la carga útil de la segunda etapa:
• Analiza el bloque de configuración descifrado • Descarga la carga útil y la valida comprobando la presencia de la firma
• Busca blobs cifrados utilizando el segundo marcador.
• Una vez que se han extraído todos los blobs cifrados, se concatenan y se descifran con la clave XOR.
• Finalmente, la carga útil descifrada se descomprime utilizando el algoritmo LZNT1.
Ejecución de la carga útil de la segunda etapa de HijackLoader desde un archivo local
Módulos HijackLoader observados por ThreatLabz en el análisis que hizo mas a fondo
| CRC32 |
|
DESCRIPTION | |
| 0x78b783ca | AVDATA | Blocklist of security products’ process names. The blocklist includes the CRC32 value of each process name. | |
| 0x757c9405 | ESAL | Clears out the shellcode data and executes the final payload. | |
| 0x6364a15b | ESAL64 | 64-bit version of the ESAL module. | |
| 0xe7794e15 | ESLDR | Assists with code injection of the main instrumentation shellcode. | |
| 0x4fa01ac5 | ESLDR64 | 64-bit version of ESLDR module. | |
| 0x93eb1cb1 | ESWR | Clears out the shellcode data and executes the rshell module. | |
| 0x699d0c82 | FIXED | Legitimate executable file (e.g., QQPCMgr), which is used for injecting code into its process. | |
|
0xfea2e0eb |
LauncherLdr | Decrypts the stored modules table file from disk. We have only seen the 64-bit version of this module being included. | |
| 0xf4f141c2 | LauncherLdr64 | 64-bit version of LauncherLdr module. | |
| 0x74984889 | rshell | Relocates, parses and executes the final payload. | |
| 0x7b37e907 | rshell64 | 64-bit version of rshell module. | |
| 0x3ee477f1 | ti | Executed after the first stage. Performs code injection for other stages and modules. | |
| 0x2ab77db8 | ti64 | 64-bit version of ti module. | |
| 0x4eace798 | tinystub | Empty executable file, which is used for patching during the final payload execution process. | |
| 0xa1d724fc | tinyutilitymodule.dll | Overwrites the PE headers of a specified file with null bytes. | |
| 0x263596ba | tinyutilitymodule64.dll | 64-bit version of tinyutilitymodule.dll module. | |
| 0x1ae7700a | Unknown | Unknown module. Not included in any of the observed binaries. Based on the analyzed code, we assess that it includes a file path along with an optional parameter. The current running file is copied into this new location and executed along with the specified parameter. | |
| N/A | Main instrumentation shellcode | Shellcode injected into the specified target process from the ti module. This module is responsible for executing the final payload. |
Lista de bloqueo de procesos en el módulo HijackLoader ti
• Su función principal es inyectar el modulo de instrumentación principal que es el responsable de cargar la etapa final:
• Vuelve a ejecutar el archivo inicial desde una nueva ubicación y parámetro
• Crea un nuevo proceso (especificado en la configuración), asigna el archivo secuestrado e inyecta el código shell de instrumentación principal
• HijackLoader puede incluir un conjunto adicional de archivos, que pueden usarse para secuestrar DLL
• Ejecuta el módulo ESLDR, que inyecta el código shell de instrumentación principal.
| PROCESS NAME | DESCRIPTION |
|---|---|
| avastsvc |
|
| avgsvc | Same as avastsvc |
| a2service | No behavioral code change. |
| wrsa | No behavioral code change. |
| msmpeng | No behavioral code change. |
Recomendaciones
En la medida de lo posible realizar el alta de Indicadores de compromiso
Indicadores de Host
| HASH SHA 256 | Descripción |
| 7bd39678ac3452bf55359b44c5192b79412ce61a82cd72eef88f91aba5792ee6 | HijackLoader |
| 6b1621bded06b082f83c731319c9deb2fdf751a4cec1d1b2b00ab9e75f4c29ca | HijackLoader |
| e67790b394f5238908fcc326a9db940b200d9b50cbb45f0bfa94038db50beeae | HijackLoader |
| 693cace37b4b6fed2ca67906c7a4b1c11273110561a207a222aa4e62fb4a184a | HijackLoader |
| 04c0a4f3b5f787a0c9fa8f6d8ef19e01097185dd1f2ba40ae4bbbeca9c3a1c72 | HijackLoader |
Indicadores de red
| IOC | Descripción |
| hxxps://www.4sync[.]com/web/directDownload/ KFtZys VO/4jBKM7R0.baa89a7b43a7b73227f22ae561718f7f | URL de carga útil, que HijackLoader utiliza para cargar Danabot |
| hxxps://geupdate-service[.]bond/img/ 3344379399.png | URL de carga útil, que HijackLoader utiliza para cargar el ladrón RedLine |
Indicadores de compromiso del Malware RedLine Stealer
· SHA256: 2b173e6cde1985b8f98e19458e587a0bb2cb4d3ca2f43fbe90317148733c8c19
· SHA256: 33a58fe28fd4991d416ec5c71ed1a3902fa1b3670f0c21913e8067b117a13d40
· SHA256: 6b1a6e9d2fd406bd64d19f83d5d2da53daf81cb77deafd44093e328632c812e6
· SHA256: 9b83295232742e7441e112964f0cc24b825f5c7367589781ce3cacf8516c47e5
· SHA256: b386457fb2917a1e71aa8f8e24ce577984a2679d518cf0c098d6175f6410b569
· SHA256: 87789525666ff30d7866ebd346e712e5cb17a029e892036d2798c29568e44ce2
· SHA256: b3a7841c382f8037f81b90744e527677bf00e9d1e535e54c720bf9c201046285
· SHA256: f9be3f2ebd3654b7ecc41d482840872e1daaede423dff221f925acc4c72a6ce3
· SHA256: 4dbf6414e86f128d65b575fe220d5346a258c2b9c188c886a93bb9293291fceb
· SHA256: b23551685f437c0209057195a157c249b4f5489b5237c15a8c641190eedd0ada
· SHA256: 3dbb485f94bffbb6e070780451ccda0c651520b651ae9f2f763a8ff9fa70060e
· SHA256: b41e1a0228c495766f452ae25f5cf0ec032f4e5440b02beafc75af05b80a01b5
· SHA256: 1e82ed7a9d804175a7b412ac27314dbdf2e2c3453aca9954a12a30a521f47a8d
· SHA256: 6c1b0a6370877b232e230baa8703139865662584854a4f8306c387baa1185b50
· SHA256: 05321f9484b678c42a2e08e86f0674093eeb69b9a2c47608439946601cf098c1
· SHA256: 2a2a05359afeb631127ebbb8d2d2f2c4c4e3f613a9e1e0fd3287e14577c2578f
· MD5: c26fb943ff2fe11908905fc573975970
· MD5: 76cb8ef17282d3e07be6f4c7ea3a4075
· MD5: 651acd24fd7ca46d6c41676e58f655c7
· MD5: eacee8508d4a8f42ab3d77d308260460
· MD5: 280b496b1556d2beea8f7b9b7958d7cd
· MD5: 37e07863b33d8c7a3355a3c0e1668520
· MD5: 1716bf4f93fc704a463c6517ec22fed5
· MD5: b7649de5628e2c6b2be40b6d2fe115c5
· MD5: abce7bb76cd0b298f352761c961c8727
· MD5: 9b25deede4511de18e00c1214ba32532
· MD5: 918fee161ff85beba22b171f1e401cce
· MD5: 85a7d125f19102f0e504443c721a850c
· MD5: 79f29087b398759dea999db7057989c4
· MD5: 657e36feb61d77e8d2d9da0833c9b8e8
· MD5: 374c04c530c8e3a4f82535e0be2c748c
· MD5: 7fc7660c4586ac5b6cf63d2bfa616867
IP Addresses
· 95.217.146.176:4287 162.55.188.117:48958 8.9.31.171:21237
· 77.91.78.218:47779 88.198.124.103:40309 20.100.204.23:41570
· 193.233.20.13:4136 103.169.34.87:27368 207.246.70.132:23
· 95.216.27.23:42121 89.23.96.224:39812 88.218.171.68:20005
· 192.227.144.59:12210 193.57.138.163:28786 79.137.192.41:40084
· 77.73.131.143:3320 185.106.93.132:800 77.73.134.78:38667
· 70.36.106.161:10456 142.132.186.212:8901 138.128.243.83:30774
· 45.95.67.36:36262 213.166.71.44:10042 137.74.157.83:36657
· 51.161.104.92:47909 193.233.20.12:4132 147.135.165.21:36456
· 82.115.223.77:38358 135.181.204.51:20347 103.73.219.222:26409
· 45.15.157.156:10562 185.11.61.125:22344 116.203.231.217:39810
· 178.20.45.6:19170 45.83.178.135:1000 142.132.210.105:29254
· 95.217.14.200:34072 45.15.156.205:12553 176.113.115.17:4132
· 185.106.93.207:35946 193.233.20.11:4131 157.90.117.250:45269
· 190.2.145.79:80 185.94.166.20:80 95.217.146.176:4286
Referencias
- https://thehackernews.com/2023/09/new-hijackloader-modular-malware-loader.html
- https://www.zscaler.com/blogs/security-research/technical-analysis-hijackloader
- https://flashpoint.io/blog/danabot-version-3-what-you-need-to-know/
- https://malpedia.caad.fkie.fraunhofer.de/details/win.systemb
