5 月 10 日消息,，安全公司 Zscaler 近日發(fā)布報(bào)告,，披露了一款采用“模塊化設(shè)計(jì)”的惡意載入器 HijackLoader,，這款載入器可以加裝各種模塊以進(jìn)行腳本注入,、遠(yuǎn)程命令執(zhí)行等操作,，同時(shí)還能夠根據(jù)用戶設(shè)備端情況“智能”逃避檢測(cè),。

據(jù)悉,，相關(guān)載入器能夠繞過 UAC 措施將黑客惡意軟件加入到微軟 Defender 白名單中,，還支持進(jìn)程空洞（Process Hollowing）,、管道觸發(fā)激活,、進(jìn)程分身等策略，同時(shí)還擁有額外的脫鉤技術(shù),。

安全公司披露了一個(gè)復(fù)雜的 HijackLoader 樣本,，該樣本以 Streaming_client.exe 啟動(dòng)，利用“混淆配置”逃避防火墻靜態(tài)分析,，之后使用 WinHTTP API 通過訪問 https [:]//nginx [.] org 來測(cè)試互聯(lián)網(wǎng)連接,，并通過遠(yuǎn)程服務(wù)器下載第二階段攻擊所需配置。

在成功下載第二階段配置后,，相關(guān)樣本便會(huì)搜索 PNG 標(biāo)頭字節(jié),，并使用 XOR 進(jìn)行解密,，同時(shí)使用 RtlDecompressBuffer API 進(jìn)行解壓縮。隨后加載配置中指定的“合法”Windows DLL,，將 shellcode 寫入其 .text 部分以供其執(zhí)行（將惡意代碼嵌入到合法進(jìn)程中）,。

此后，該惡意軟件利用被稱為“Heaven's Gate”的掛鉤方案將額外的 shellcode 注入 cmd.exe,，之后 使用進(jìn)程空洞將最終有效負(fù)載（例如 Cobalt Strike 信標(biāo)）注入到 logagent.exe 中,。

研究人員同時(shí)發(fā)現(xiàn)，黑客主要利用 HijackLoader 散布名為 Amadey 的惡意軟件,，以及勒索軟件 Lumma,，用于隨機(jī)加密受害者設(shè)備上的重要文件，并借機(jī)向受害者勒索數(shù)字貨幣,。