Le nouveau chargeur de logiciels malveillants HijackLoader fait-il des vagues dans le monde de la cybercriminalité ?

« Même si HijackLoader ne contient pas de fonctions avancées, il est capable d’utiliser une variété de modules pour l’injection et l’exécution de code puisqu’il utilise une architecture modulaire, une caractéristique que la plupart des chargeurs n’ont pas », a déclaré Nikolaos Pantazopoulos, chercheur de Zscaler ThreatLabz.

Observé pour la première fois par la société en juillet 2023, le logiciel malveillant utilise un certain nombre de techniques pour passer inaperçu. Il utilise notamment des appels syscall pour échapper à la surveillance des solutions de sécurité, contrôle les processus associés aux logiciels de sécurité sur la base d’une liste de blocage intégrée et retarde l’exécution du code de 40 secondes à différents stades.

Le vecteur d’accès initial exact utilisé pour infiltrer les cibles n’est pas connu à l’heure actuelle. Malgré les aspects anti-analyse, le chargeur contient un module d’instrumentation principal qui facilite l’injection et l’exécution de code à l’aide de modules intégrés.

La persistance sur l’hôte compromis est obtenue en créant un fichier de raccourci (LNK) dans le dossier de démarrage de Windows et en le faisant pointer vers une tâche BITS (Background Intelligent Transfer Service).

« HijackLoader est un chargeur modulaire doté de techniques d’évasion, qui offre une variété d’options de chargement pour les charges utiles malveillantes », a déclaré M. Pantazopoulos. « En outre, il ne possède pas de fonctions avancées et la qualité du code est médiocre.

Cette révélation intervient alors que Flashpoint a dévoilé les détails d’une version mise à jour d’un logiciel malveillant de vol d’informations connu sous le nom de RisePro, qui était auparavant distribué via un service de téléchargement de logiciels malveillants payé à l’installation (PPI), baptisé PrivateLoader.

« Le vendeur affirme dans ses annonces qu’il a pris les meilleurs aspects de ‘RedLine’ et de ‘Vidar’ pour en faire un puissant voleur », note Flashpoint. « Cette fois, le vendeur promet également un nouvel avantage aux utilisateurs de RisePro : les clients hébergent leurs propres panneaux pour s’assurer que les logs ne sont pas volés par les vendeurs.

RisePro, écrit en C++, est conçu pour recueillir des informations sensibles sur les machines infectées et les exfiltrer vers un serveur de commande et de contrôle (C&C) sous la forme de journaux. Il a été mis en vente pour la première fois en décembre 2022.

Elle fait également suite à la découverte d’un nouveau voleur d’informations écrit en Node.js qui est emballé dans un exécutable et distribué via des publicités Facebook malveillantes sur le thème du Large Language Model (LLM) et de faux sites web se faisant passer pour l’éditeur vidéo CapCut de ByteDance.

« Lorsque le voleur est exécuté, il exécute sa fonction principale qui vole les cookies et les informations d’identification de plusieurs navigateurs web basés sur Chromium, puis exfiltre les données vers le serveur C&C et vers le bot Telegram« , a déclaré le chercheur en sécurité Jaromir Horejsi. « Il abonne également le client au serveur C&C qui exécute GraphQL. » Lorsque le serveur C&C envoie un message, la fonction de vol s’exécute à nouveau. » Les navigateurs ciblés sont Google Chrome Microsoft Edge Opera (et OperaGX), Brave.