據(jù)安全機(jī)構(gòu)Zscaler近期發(fā)布的報(bào)告稱(chēng)，新型惡意加載器HijackLoader已被開(kāi)發(fā)出來(lái)，它具有模塊化設(shè)計(jì)，可添加各類(lèi)功能，以便進(jìn)行腳本注入和遠(yuǎn)程命令執(zhí)行。更值得關(guān)注的是，該加載器能根據(jù)用戶(hù)設(shè)備狀況靈活地躲避檢測(cè)。

據(jù)了解，此類(lèi)加載器有能力繞過(guò)UAC防護(hù)，將黑客惡意軟件納入Microsoft Defender白名單，并支持進(jìn)程空洞、管道觸發(fā)激活及進(jìn)程分身等多種策略。此外，它還具備額外的脫鉤技術(shù)。

IT之家注意到，安全公司揭示了一個(gè)復(fù)雜的HijackLoader樣本，該樣本以Streaming_client.exe啟動(dòng)，利用混淆配置避開(kāi)防火墻靜態(tài)分析。然后，它使用WinHTTP API訪問(wèn)https://nginx.org測(cè)試網(wǎng)絡(luò)連接，并從遠(yuǎn)程服務(wù)器下載第二階段攻擊所需配置。

在成功下載第二階段配置后，樣本開(kāi)始搜索PNG頭部字節(jié)，用XOR解密，再借助RtlDecompressBuffer API進(jìn)行解壓。接著，它加載配置中指定的“合法”Windows DLL，將shellcode寫(xiě)入其中，使之得以執(zhí)行（將惡意代碼嵌入到合法進(jìn)程中）。

接下來(lái)，該惡意軟件運(yùn)用“Heaven‘s Gate”掛鉤方案將額外的shellcode注入cmd.exe，然后利用進(jìn)程空洞將最終有效負(fù)載（如Cobalt Strike信標(biāo)）注入logagent.exe。

研究人員進(jìn)一步發(fā)現(xiàn)，黑客主要利用HijackLoader傳播名為Amadey的惡意軟件，以及勒索軟件Lumma，它們會(huì)隨機(jī)加密受害者設(shè)備上的重要文件，并以此為由向受害者勒索數(shù)字貨幣。