Новый загрузчик вредоносных программ под названием HijackLoader набирает популярность среди сообщества киберпреступников, предоставляя различные полезные программы, такие как DanaBot, SystemBC и RedLine Stealer.
"Хотя HijackLoader не содержит расширенных функций, он способен использовать различные модули для внедрения кода и выполнения, поскольку использует модульную архитектуру, которой нет у большинства загрузчиков", - сказал исследователь Zscaler ThreatLabZ Николаос Пантазопулос.
Впервые обнаруженный компанией в июле 2023 года, вредоносный ПО использует ряд методов, позволяющих оставаться незамеченным. Это включает в себя использование системных вызовов для уклонения от мониторинга со стороны решений безопасности, мониторинг процессов, связанных с программным обеспечением безопасности, на основе встроенного списка блокировок и отсрочку выполнения кода на целых 40 секунд на разных этапах.
Точный начальный вектор доступа, используемый для проникновения в цели, в настоящее время неизвестен. Несмотря на аспекты антианализа, загрузчик включает в себя основной инструментальный модуль, который облегчает гибкое внедрение кода и выполнение с использованием встроенных модулей.
Сохранение на скомпрометированном хосте достигается путем создания файла быстрого доступа (LNK) в папке автозагрузки Windows и указания его на фоновое задание Intelligent Transfer Service (BITS).
"HijackLoader - это модульный загрузчик с методами уклонения, который предоставляет множество вариантов загрузки вредоносных полезных нагрузок", - сказал Пантазопулос. "Более того, он не обладает никакими расширенными функциями, а качество кода оставляет желать лучшего".
Раскрытие происходит после того, как Flashpoint раскрыла подробности обновленной версии вредоносного ПО для кражи информации, известного как RisePro, которое ранее распространялось через сервис загрузки вредоносных программ с оплатой за установку (PPI), получивший название PrivateLoader.
"Продавец утверждал в своих объявлениях, что они использовали лучшие аспекты 'RedLine' и 'Vidar' для создания мощного похитителя", - отметил Flashpoint. "И на этот раз продавец также обещает новое преимущество для пользователей RisePro: клиенты размещают свои собственные панели, чтобы гарантировать, что журналы не будут украдены продавцами".
RisePro, написанный на C ++, предназначен для сбора конфиденциальной информации на зараженных машинах и передачи ее на сервер командования и управления (C & C) в виде журналов. Впервые он был выставлен на продажу в декабре 2022 года.
Это также следует за открытием нового средства для кражи информации, написанного на Node.js он упакован в исполняемый файл и распространяется через рекламу Facebook на тему вредоносной модели большого языка (LLM) и поддельные веб-сайты, выдающие себя за видеоредактор CapCut от ByteDance.
"Когда программа-похититель запускается, она запускает свою основную функцию, которая крадет файлы cookie и учетные данные из нескольких веб-браузеров на базе Chromium, а затем отправляет данные на сервер C & C и в Telegram-бота", - сказал исследователь безопасности Яромир Хорейси.
"Он также подписывает клиента на сервер C & C, на котором работает GraphQL. Когда сервер C & C отправляет сообщение клиенту, функция кражи запускается снова". Целевые браузеры включают Google Chrome, Microsoft Edge, Opera (и OperaGX) и Brave.
Это второй случай, когда были замечены поддельные веб-сайты с закрытыми страницами, распространяющие вредоносное ПО stealer. В мае 2023 года Cyble раскрыла две разные цепочки атак, которые использовали программное обеспечение в качестве приманки, чтобы обманом заставить ничего не подозревающих пользователей запустить Offx Stealer и RedLine Stealer.
Разработки рисуют картину постоянно развивающейся экосистемы киберпреступности, в которой инфекции-похитители выступают в качестве основного начального вектора атаки, используемого злоумышленниками для проникновения в организации и проведения действий после эксплуатации.
Поэтому неудивительно, что злоумышленники спешат на помощь, создавая новые разновидности вредоносных программ-похитителей, такие как Prysmax, которые включают в себя набор функций швейцарского армейского ножа, позволяющих их клиентам максимально увеличить охват и воздействие.
"Вредоносное ПО на базе Python упаковывается с помощью Pyinstaller, который можно использовать для объединения вредоносного кода и всех его зависимостей в один исполняемый файл", - сказали в Cyfirma. "Вредоносное ПО, похищающее информацию, нацелено на отключение защитника Windows, манипулирование его настройками и настройку собственного реагирования на угрозы".
"Он также пытается снизить возможность отслеживания и закрепиться в скомпрометированной системе. Вредоносное ПО, похоже, хорошо разработано для кражи и эксфильтрации данных, при этом избегая обнаружения средствами безопасности, а также "песочницами" динамического анализа."
"Хотя HijackLoader не содержит расширенных функций, он способен использовать различные модули для внедрения кода и выполнения, поскольку использует модульную архитектуру, которой нет у большинства загрузчиков", - сказал исследователь Zscaler ThreatLabZ Николаос Пантазопулос.
Впервые обнаруженный компанией в июле 2023 года, вредоносный ПО использует ряд методов, позволяющих оставаться незамеченным. Это включает в себя использование системных вызовов для уклонения от мониторинга со стороны решений безопасности, мониторинг процессов, связанных с программным обеспечением безопасности, на основе встроенного списка блокировок и отсрочку выполнения кода на целых 40 секунд на разных этапах.
Точный начальный вектор доступа, используемый для проникновения в цели, в настоящее время неизвестен. Несмотря на аспекты антианализа, загрузчик включает в себя основной инструментальный модуль, который облегчает гибкое внедрение кода и выполнение с использованием встроенных модулей.
Сохранение на скомпрометированном хосте достигается путем создания файла быстрого доступа (LNK) в папке автозагрузки Windows и указания его на фоновое задание Intelligent Transfer Service (BITS).
"HijackLoader - это модульный загрузчик с методами уклонения, который предоставляет множество вариантов загрузки вредоносных полезных нагрузок", - сказал Пантазопулос. "Более того, он не обладает никакими расширенными функциями, а качество кода оставляет желать лучшего".
Раскрытие происходит после того, как Flashpoint раскрыла подробности обновленной версии вредоносного ПО для кражи информации, известного как RisePro, которое ранее распространялось через сервис загрузки вредоносных программ с оплатой за установку (PPI), получивший название PrivateLoader.
"Продавец утверждал в своих объявлениях, что они использовали лучшие аспекты 'RedLine' и 'Vidar' для создания мощного похитителя", - отметил Flashpoint. "И на этот раз продавец также обещает новое преимущество для пользователей RisePro: клиенты размещают свои собственные панели, чтобы гарантировать, что журналы не будут украдены продавцами".
RisePro, написанный на C ++, предназначен для сбора конфиденциальной информации на зараженных машинах и передачи ее на сервер командования и управления (C & C) в виде журналов. Впервые он был выставлен на продажу в декабре 2022 года.
Это также следует за открытием нового средства для кражи информации, написанного на Node.js он упакован в исполняемый файл и распространяется через рекламу Facebook на тему вредоносной модели большого языка (LLM) и поддельные веб-сайты, выдающие себя за видеоредактор CapCut от ByteDance.
"Когда программа-похититель запускается, она запускает свою основную функцию, которая крадет файлы cookie и учетные данные из нескольких веб-браузеров на базе Chromium, а затем отправляет данные на сервер C & C и в Telegram-бота", - сказал исследователь безопасности Яромир Хорейси.
"Он также подписывает клиента на сервер C & C, на котором работает GraphQL. Когда сервер C & C отправляет сообщение клиенту, функция кражи запускается снова". Целевые браузеры включают Google Chrome, Microsoft Edge, Opera (и OperaGX) и Brave.
Это второй случай, когда были замечены поддельные веб-сайты с закрытыми страницами, распространяющие вредоносное ПО stealer. В мае 2023 года Cyble раскрыла две разные цепочки атак, которые использовали программное обеспечение в качестве приманки, чтобы обманом заставить ничего не подозревающих пользователей запустить Offx Stealer и RedLine Stealer.
Разработки рисуют картину постоянно развивающейся экосистемы киберпреступности, в которой инфекции-похитители выступают в качестве основного начального вектора атаки, используемого злоумышленниками для проникновения в организации и проведения действий после эксплуатации.
Поэтому неудивительно, что злоумышленники спешат на помощь, создавая новые разновидности вредоносных программ-похитителей, такие как Prysmax, которые включают в себя набор функций швейцарского армейского ножа, позволяющих их клиентам максимально увеличить охват и воздействие.
"Вредоносное ПО на базе Python упаковывается с помощью Pyinstaller, который можно использовать для объединения вредоносного кода и всех его зависимостей в один исполняемый файл", - сказали в Cyfirma. "Вредоносное ПО, похищающее информацию, нацелено на отключение защитника Windows, манипулирование его настройками и настройку собственного реагирования на угрозы".
"Он также пытается снизить возможность отслеживания и закрепиться в скомпрометированной системе. Вредоносное ПО, похоже, хорошо разработано для кражи и эксфильтрации данных, при этом избегая обнаружения средствами безопасности, а также "песочницами" динамического анализа."
