Un reciente informe de Zscaler ThreatLabz revela que una versión actualizada del malware Hijack Loader ha sido detectada, incorporando un conjunto de técnicas anti-análisis para pasar desapercibido.
Mejoras en la furtividad del malware
El investigador Muhammed Irfan V A de Zscaler señala que estas mejoras tienen como objetivo aumentar la furtividad del malware, permitiéndole permanecer indetectado por períodos más prolongados. Entre las nuevas tácticas empleadas se encuentran la exclusión de Windows Defender Antivirus, el bypass de Control de Cuentas de Usuario (UAC), la evasión del gancho de API en línea utilizado por software de seguridad, y el uso de “process hollowing”.
Funcionamiento del malware
Hijack Loader, también conocido como IDAT Loader, es un cargador de malware documentado por primera vez en septiembre de 2023. Desde entonces, ha sido utilizado como conducto para entregar varias familias de malware, incluyendo Amadey, Lumma Stealer, Meta Stealer, Racoon Stealer V2, Remcos RAT y Rhadamanthys.
La versión más reciente destaca por su capacidad para descifrar y analizar una imagen PNG para cargar el siguiente payload, una técnica previamente detallada por Morphisec en una campaña dirigida a entidades ucranianas con sede en Finlandia.
Uso de técnicas avanzadas de anti-análisis
El malware ahora incorpora hasta siete nuevos módulos para crear nuevos procesos, realizar bypass de UAC y agregar una exclusión de Windows Defender Antivirus a través de un comando PowerShell. Además, utiliza la técnica “Heaven’s Gate” para eludir los ganchos de modo de usuario.
Continúa la distribución de malware
Estos hallazgos se producen en medio de campañas de distribución de diferentes familias de cargadores de malware como DarkGate, FakeBat (también conocido como EugenLoader) y GuLoader a través de ataques de malvertising y phishing.
Emergencia de un nuevo roba información
Por otro lado, se ha observado la aparición de un nuevo roba información llamado TesseractStealer, distribuido por ViperSoftX, que utiliza el motor de reconocimiento óptico de caracteres Tesseract para extraer texto de archivos de imagen.
Conclusiones
La evolución constante de las técnicas de evasión de detección por parte de los ciberdelincuentes destaca la importancia de mantenerse actualizado en materia de ciberseguridad y adoptar medidas proactivas para proteger los sistemas y datos empresariales.
