В 2023 году наблюдается рост вредоносных загрузчиков, использующих передовые методы обхода мер безопасности, включая сложную комбинацию модулей для инъекции кода и стеганографию. Такие загрузчики демонстрируют высокую адаптивность и способность обходить современные решения по защите информационных систем.
Обнаруженный в 2023 году, загрузчик Hijack Loader известен под названиями DOILoader, GHOSTPULSE, IDAT Loader и SHADOWLADDER. Он способен доставлять вторичные полезные нагрузки, например, информационных крадущие модули, и включает модули, позволяющие обходить антивирусное ПО и впрыскивать вредоносный код в целевые процессы.
Новая версия Hijack Loader внедряет спуфинг вызовов стека посредством манипуляций с указателями EBP, что позволяет скрыть истинное происхождение системных и API-вызовов. Дополнительно загрузчик использует модуль ANTIVM для обнаружения виртуальных машин и модуль modTask для установления персистентности через планировщик задач. Применение техники Heaven's Gate обеспечивает выполнение 64-битных системных вызовов для инъекции кода, а обновлённый список блокируемых процессов теперь включает avastsvc.exe с задержкой выполнения в пять секунд.
Исследователь Muhammed Irfan V A из Zscaler ThreatLabz отмечает сходство методов Hijack Loader с техникой, использованной в CoffeeLoader, что свидетельствует о постоянном усложнении схем обнаружения и анализа. Кампании, задокументированные в октябре 2024 года HarfangLab и Elastic Security Labs, подтверждают использование легитимных сертификатов для подписания вредоносного кода и стратегию распространения под названием ClickFix.
Семейство вредоносного ПО SHELBY, отслеживаемое Elastic Security Labs как REF8685, использует GitHub для организации командно-контрольной связи, утери данных и удалённого управления. Атака начинается с тщательно спланированной фишинговой кампании, направленной на иракскую телекоммуникационную фирму, где письма исходят изнутри организации и содержат ZIP-архив бинарником, осуществляющим DLL side-loading через SHELBYLOADER (файл HTTPService.dll).
Механизм командно-контрольной связи SHELBY базируется на извлечении 48-байтного значения из файла License.txt в репозитории GitHub, контролируемом злоумышленниками. Это значение используется для генерации AES-ключа, расшифровывающего основную полезную нагрузку – библиотеку HTTPApi.dll, загружаемую непосредственно в память без оставления следов на диске. SHELBYLOADER применяет техники обнаружения виртуальных и мониторинговых сред, отправляя результаты проверки в виде логов, а SHELBYC2 посредством файла Command.txt получает команды, позволяющие осуществлять загрузку и передачу файлов, рефлективно загружать.NET-бинарники и выполнять PowerShell-команды через изменения в частном репозитории GitHub с использованием встроенного PAT-токена.
Emmenhtal Loader, также именуемый PEAKLIGHT, распространяется через фишинговые письма с финансово ориентированными приманками и служит для доставки SmokeLoader. В свою очередь, образец SmokeLoader демонстрирует применение коммерческого Reactor для обфускации и упаковки, что сменяет исторически используемые Themida, Enigma Protector и кастомные криптеры. Наблюдения компании GDATA подтверждают, что Reactor становится характерной тенденцией среди загрузчиков и программ для кражи данных.
Изображение носит иллюстративный характер
Обнаруженный в 2023 году, загрузчик Hijack Loader известен под названиями DOILoader, GHOSTPULSE, IDAT Loader и SHADOWLADDER. Он способен доставлять вторичные полезные нагрузки, например, информационных крадущие модули, и включает модули, позволяющие обходить антивирусное ПО и впрыскивать вредоносный код в целевые процессы.
Новая версия Hijack Loader внедряет спуфинг вызовов стека посредством манипуляций с указателями EBP, что позволяет скрыть истинное происхождение системных и API-вызовов. Дополнительно загрузчик использует модуль ANTIVM для обнаружения виртуальных машин и модуль modTask для установления персистентности через планировщик задач. Применение техники Heaven's Gate обеспечивает выполнение 64-битных системных вызовов для инъекции кода, а обновлённый список блокируемых процессов теперь включает avastsvc.exe с задержкой выполнения в пять секунд.
Исследователь Muhammed Irfan V A из Zscaler ThreatLabz отмечает сходство методов Hijack Loader с техникой, использованной в CoffeeLoader, что свидетельствует о постоянном усложнении схем обнаружения и анализа. Кампании, задокументированные в октябре 2024 года HarfangLab и Elastic Security Labs, подтверждают использование легитимных сертификатов для подписания вредоносного кода и стратегию распространения под названием ClickFix.
Семейство вредоносного ПО SHELBY, отслеживаемое Elastic Security Labs как REF8685, использует GitHub для организации командно-контрольной связи, утери данных и удалённого управления. Атака начинается с тщательно спланированной фишинговой кампании, направленной на иракскую телекоммуникационную фирму, где письма исходят изнутри организации и содержат ZIP-архив бинарником, осуществляющим DLL side-loading через SHELBYLOADER (файл HTTPService.dll).
Механизм командно-контрольной связи SHELBY базируется на извлечении 48-байтного значения из файла License.txt в репозитории GitHub, контролируемом злоумышленниками. Это значение используется для генерации AES-ключа, расшифровывающего основную полезную нагрузку – библиотеку HTTPApi.dll, загружаемую непосредственно в память без оставления следов на диске. SHELBYLOADER применяет техники обнаружения виртуальных и мониторинговых сред, отправляя результаты проверки в виде логов, а SHELBYC2 посредством файла Command.txt получает команды, позволяющие осуществлять загрузку и передачу файлов, рефлективно загружать.NET-бинарники и выполнять PowerShell-команды через изменения в частном репозитории GitHub с использованием встроенного PAT-токена.
Emmenhtal Loader, также именуемый PEAKLIGHT, распространяется через фишинговые письма с финансово ориентированными приманками и служит для доставки SmokeLoader. В свою очередь, образец SmokeLoader демонстрирует применение коммерческого Reactor для обфускации и упаковки, что сменяет исторически используемые Themida, Enigma Protector и кастомные криптеры. Наблюдения компании GDATA подтверждают, что Reactor становится характерной тенденцией среди загрузчиков и программ для кражи данных.
