El HijackLoader actualizado utiliza imágenes PNG para eludir los antivirus
La famosa técnica «Heaven's Gate» abre las puertas al mundo del malware.
Recientemente, los especialistas en ciberseguridad notaron una nueva versión del malware HijackLoader, que ahora incluye métodos mejorados para evadir el análisis. Esto permite que el malware permanezca sin ser detectado en las redes comprometidas durante períodos de tiempo más prolongados.
Los investigadores de Zscaler informaron en su informe técnico que las nuevas funciones están dirigidas a mejorar el sigilo del malware. Así, HijackLoader, también conocido como IDAT Loader, ahora puede agregar excepciones para el antivirus Windows Defender, evadir el control de cuentas de usuario (UAC), evitar la interceptación de API, que a menudo se utiliza por los antivirus para la detección, y también utilizar la técnica «Process Hollowing».
Observado por primera vez en septiembre de 2023, HijackLoader ya se ha utilizado para distribuir varias familias de malware, incluyendo Amadey, Lumma Stealer, Meta Stealer, Racoon Stealer V2, Remcos RAT y Rhadamanthys.
Una característica notable de la última versión del cargador es que utiliza un método de descifrado y análisis de imágenes PNG para cargar la siguiente etapa del malware. Este método fue descrito por primera vez por Morphisec.
La primera etapa del cargador es responsable de extraer y ejecutar la segunda etapa de la imagen PNG, que puede estar incrustada en ella o cargada por separado, dependiendo de la configuración del malware. Para aumentar el sigilo, la segunda etapa utiliza técnicas adicionales contra el análisis utilizando varios módulos diferentes.
Otra característica de las últimas versiones del malware es el uso de la técnica «Heaven’s Gate» para eludir los bloqueos en modo de usuario, reportada por CrowdStrike en febrero de 2024.
Amadey sigue siendo la familia de malware más distribuida a través de HijackLoader. Los nuevos módulos integrados en el cargador mejoran sus capacidades y lo hacen aún más resistente a la detección.
Recientemente, también se ha observado la distribución de otros malware a través de publicidad y phishing, incluyendo las familias DarkGate, FakeBat y GuLoader, así como la aparición del troyano robador de datos TesseractStealer, que utiliza el reconocimiento óptico de caracteres para extraer texto de imágenes.