HijackLoader: come funziona il pericoloso caricatore di malware

Si chiama HijackLoader ed è il nuovo caricatore di malware che negli ultimi mesi ha fatto molto parlare di sé. La sua crescente popolarità è dovuta alla sua architettura modulare. Anche se non è dotato di funzionalità avanzate, riesce comunque ad usare una varietà di moduli per l'iniezione e l'esecuzione del codice. Proprio per questo motivo può essere utilizzato per caricare diverse famiglie di malware, come ad esempio SystemBC, Danabot e RedLine Stealer e amplificare la potenza della minaccia. HijackLoader è stato analizzato per la prima volta nel luglio 2023 da ThreatLabz di Zscaler. La ricerca ha messo in luce il funzionamento di questo caricatore di malware e le possibili minacce per gli utenti.

 HijackLoader: punti chiave della ricerca di ThreatLabz

Come mostrano i risultati dell’analisi, questo malware loader modulare utilizza le chiamate di sistema per aggirare il monitoraggio delle soluzioni di sicurezza. È anche in grado di rilevare processi specifici sulla base di una blocklist incorporata e di ritardare l’esecuzione del codice in diverse fasi (fino a 40 secondi). Infine, questo HijackLoader utilizza moduli incorporati che semplificano l’inserimento e l’esecuzione flessibile del codice. Si tratta di una caratteristica non comune tra gli altri caricatori di malware. Le principali fasi di attività di HijackLoader comprendono alcune tecniche di evasione, come il caricamento dinamico delle funzioni API di Windows, l’esecuzione di un test di connettività HTTP a un sito web legittimo o il ritardo dell’esecuzione del codice in diverse fasi.

Questo caricatore di malware offre diverse tecniche di evasione e fornisce varie opzioni di caricamento di payload dannosi. I moduli assistono nel processo di iniezione del codice e di esecuzione del carico finale. ThreatLabz sottolinea inoltre l’inclusione del modulo AVDATA su HijackLoader. Questo, infatti, contiene una serie di nomi di processo. Quando il modulo rileva un processo, il comportamento di quest’ultimo potrebbe modificarsi. I ricercatori ThreatLabz di Zscaler hanno concluso il proprio comunicato dichiarando che molto probabilmente i creatori di malware si affideranno sempre più a HijackLoader per diffondere nuovi virus. Tuttavia, proprio per questo motivo, il team cercherà di tenere sotto controllo queste minacce e condivideranno i nuovi i risultati con la community.