Malware HijackLoader triunfa por su capacidad de carga modular

Un nuevo malware llamado HijackLoader está ganando popularidad entre la comunidad de ciberdelincuentes debido a su capacidad para desplegar una serie de payloads maliciosos, entre ellos DanaBot, SystemBC y RedLine Stealer.

Aunque HijackLoader carece de características avanzadas en sí mismo, su arquitectura modular le permite utilizar una diversidad de módulos para la inyección y ejecución de código malicioso, una característica que es poco común en la mayoría de los cargadores, según lo revelado por el investigador de Zscaler ThreatLabz, Nikolaos Pantazopoulos.

El primer avistamiento de este malware data de julio de 2023, y desde entonces ha empleado múltiples técnicas para eludir la detección, como el uso de llamadas al sistema con el fin de evadir las soluciones de seguridad, así como la monitorización de procesos relacionados con software de seguridad incluidos en una lista negra incrustada. Además, retrasa la ejecución de su código hasta por 40 segundos en distintas etapas.

A pesar de que todavía no se ha identificado el vector de acceso inicial utilizado para infiltrarse en los equipos objetivos, HijackLoader es efectivo en el mantenimiento de su persistencia en el host comprometido mediante la creación de un archivo de acceso directo (LNK) en la carpeta de inicio de Windows, vinculándolo a una tarea del servicio Background Intelligent Transfer Service (BITS).

«HijackLoader es un cargador modular con técnicas de evasión implementadas, que ofrece una variedad de opciones de carga para payloads maliciosos. Además, no tiene características avanzadas y la calidad del código es deficiente».

Nikolaos Pantazopoulos de Zscaler ThreatLabz.

Estos hallazgos se enmarcan en el contexto de Flashpoint, que ha dado a conocer detalles sobre una versión actualizada de un malware ladrón de información llamado RisePro, anteriormente distribuido a través de un servicio de descarga de malware denominado PrivateLoader.

«El vendedor afirmaba en sus anuncios que habían tomado las mejores características de ‘RedLine‘ y ‘Vidar‘ para crear un potente ladrón de información. Y esta vez, el vendedor también promete una nueva ventaja para los usuarios de RisePro: los clientes alojan sus propios paneles para asegurarse de que los registros no sean robados por los vendedores».

Flashpoint

RisePro, escrito en C++, está diseñado para recopilar información sensible en máquinas infectadas y enviarla a un servidor de comando y control (C2) en forma de registros. Fue ofrecido por primera vez en venta en diciembre de 2022.

Estos desarrollos se suman al descubrimiento de un nuevo ladrón de información escrito en Node.js, distribuido a través de anuncios maliciosos en Facebook y sitios web fraudulentos que se hacen pasar por el editor de videos CapCut de ByteDance y se presenta empaquetado en un ejecutable. Esta amenaza utiliza modelos de lenguaje grandes (LLM) para su temática.

«Cuando el ladrón se ejecuta, realiza su función principal: robar cookies y credenciales de varios navegadores web basados en Chromium y, posteriormente, envía los datos al servidor C2 y al bot de Telegram. Además, suscribe al cliente al servidor C2 que ejecuta GraphQL. Cuando el servidor C2 envía un mensaje al cliente, la función de robo se ejecutará nuevamente. Los navegadores objetivo incluyen Google Chrome, Microsoft Edge, Opera (y OperaGX) y Brave».

Explicó el investigador de seguridad Jaromir Horejsi

En el año 2023, Cyble descubrió dos cadenas de ataque diferentes que utilizaban el software como señuelo para engañar a usuarios desprevenidos y ejecutar Offx Stealer y RedLine Stealer.

Todos estos desarrollos ilustran un panorama en constante evolución en el ecosistema del ciberdelito, con las infecciones de ladrones de información desempeñando un papel crucial como vector de ataque inicial utilizado por actores de amenazas para infiltrarse en organizaciones y llevar a cabo operaciones de postexplotación.

Por lo tanto, no sorprende que los actores de amenazas continúen innovando y creando nuevas cepas de malware ladrón de información, como Prysmax, que incorporan diversas funcionalidades para permitir a sus clientes ampliar su alcance e impacto.

«Este malware basado en Python se presenta empaquetado con Pyinstaller, una herramienta que permite agrupar el código malicioso y todas sus dependencias en un solo ejecutable. El malware de robo de información se centra en deshabilitar Windows Defender, manipula su configuración y establece su propia respuesta ante amenazas. Además, intenta minimizar su huella y mantener un punto de apoyo en el sistema comprometido. Este malware parece estar bien diseñado para el robo y la exfiltración de datos, mientras evita ser detectado por herramientas de seguridad y entornos de análisis dinámico».

Cyfirma

En un mundo cada vez más interconectado, la ciberseguridad se ha convertido en un campo de batalla constante. La continua evolución de amenazas como HijackLoader, RisePro y otros malwares es un recordatorio contundente de la importancia de la vigilancia y la protección en línea en la era digital.

Más información:

• https://flashpoint.io/blog/danabot-version-3-what-you-need-to-know/
• https://www.zscaler.com/blogs/security-research/technical-analysis-hijackloader
• https://learn.microsoft.com/en-us/windows/win32/bits/background-intelligent-transfer-service-portal
• https://flashpoint.io/blog/risepro-stealer-and-pay-per-install-malware-privateloader/
• https://www.trendmicro.com/en_us/research/23/h/profile-stealers-spread-via-llm-themed-facebook-ads.html
• https://www.trendmicro.com/en_us/research/23/i/analyzing-a-facebook-profile-stealer-written-in-node-js.html
• https://cyble.com/blog/capcut-users-under-fire/
• https://research.checkpoint.com/2023/from-hidden-bee-to-rhadamanthys-the-evolution-of-custom-executable-formats/
• https://www.cyfirma.com/outofband/new-maas-prysmax-launches-fully-undetectable-infostealer/

La entrada Malware HijackLoader triunfa por su capacidad de carga modular se publicó primero en Una al Día.