Nueva versión del malware Hijack Loader emplea técnicas avanzadas para evadir detección

Un reciente informe de Zscaler ThreatLabz revela que una versión actualizada del malware Hijack Loader ha sido detectada, incorporando un conjunto de técnicas anti-análisis para pasar desapercibido.

 

Mejoras en la furtividad del malware

El investigador Muhammed Irfan V A de Zscaler señala que estas mejoras tienen como objetivo aumentar la furtividad del malware, permitiéndole permanecer indetectado por períodos más prolongados. Entre las nuevas tácticas empleadas se encuentran la exclusión de Windows Defender Antivirus, el bypass de Control de Cuentas de Usuario (UAC), la evasión del gancho de API en línea utilizado por software de seguridad, y el uso de “process hollowing”.

 

Funcionamiento del malware

Hijack Loader, también conocido como IDAT Loader, es un cargador de malware documentado por primera vez en septiembre de 2023. Desde entonces, ha sido utilizado como conducto para entregar varias familias de malware, incluyendo Amadey, Lumma Stealer, Meta Stealer, Racoon Stealer V2, Remcos RAT y Rhadamanthys.

La versión más reciente destaca por su capacidad para descifrar y analizar una imagen PNG para cargar el siguiente payload, una técnica previamente detallada por Morphisec en una campaña dirigida a entidades ucranianas con sede en Finlandia.

Uso de técnicas avanzadas de anti-análisis

El malware ahora incorpora hasta siete nuevos módulos para crear nuevos procesos, realizar bypass de UAC y agregar una exclusión de Windows Defender Antivirus a través de un comando PowerShell. Además, utiliza la técnica “Heaven’s Gate” para eludir los ganchos de modo de usuario.

 

Continúa la distribución de malware

Estos hallazgos se producen en medio de campañas de distribución de diferentes familias de cargadores de malware como DarkGate, FakeBat (también conocido como EugenLoader) y GuLoader a través de ataques de malvertising y phishing.

 

Emergencia de un nuevo roba información

Por otro lado, se ha observado la aparición de un nuevo roba información llamado TesseractStealer, distribuido por ViperSoftX, que utiliza el motor de reconocimiento óptico de caracteres Tesseract para extraer texto de archivos de imagen.

 

 Conclusiones

La evolución constante de las técnicas de evasión de detección por parte de los ciberdelincuentes destaca la importancia de mantenerse actualizado en materia de ciberseguridad y adoptar medidas proactivas para proteger los sistemas y datos empresariales.

Related Posts
Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.