5 月 10 日消息，安全公司 Zscaler 近日發(fā)布報告，披露了一款采用“模塊化設(shè)計”的惡意載入器 HijackLoader，這款載入器可以加裝各種模塊以進(jìn)行腳本注入、遠(yuǎn)程命令執(zhí)行等操作，同時還能夠根據(jù)用戶設(shè)備端情況“智能”逃避檢測。

據(jù)悉，相關(guān)載入器能夠繞過 UAC 措施將黑客惡意軟件加入到微軟 Defender 白名單中，還支持進(jìn)程空洞（Process Hollowing）、管道觸發(fā)激活、進(jìn)程分身等策略，同時還擁有額外的脫鉤技術(shù)。

安全公司披露了一個復(fù)雜的 HijackLoader 樣本，該樣本以 Streaming_client.exe 啟動，利用“混淆配置”逃避防火墻靜態(tài)分析，之后使用 WinHTTP API 通過訪問 https [:]//nginx [.] org 來測試互聯(lián)網(wǎng)連接，并通過遠(yuǎn)程服務(wù)器下載第二階段攻擊所需配置。

在成功下載第二階段配置后，相關(guān)樣本便會搜索 PNG 標(biāo)頭字節(jié)，并使用 XOR 進(jìn)行解密，同時使用 RtlDecompressBuffer API 進(jìn)行解壓縮。隨后加載配置中指定的“合法”Windows DLL，將 shellcode 寫入其 .text 部分以供其執(zhí)行（將惡意代碼嵌入到合法進(jìn)程中）。

此后，該惡意軟件利用被稱為“Heaven's Gate”的掛鉤方案將額外的 shellcode 注入 cmd.exe，之后 使用進(jìn)程空洞將最終有效負(fù)載（例如 Cobalt Strike 信標(biāo)）注入到 logagent.exe 中。

研究人員同時發(fā)現(xiàn)，黑客主要利用 HijackLoader 散布名為 Amadey 的惡意軟件，以及勒索軟件 Lumma，用于隨機加密受害者設(shè)備上的重要文件，并借機向受害者勒索數(shù)字貨幣。