Nel mondo della sicurezza informatica, nuove minacce emergono costantemente, rendendo essenziale per i ricercatori rimanere all'erta. Un esempio recente è rappresentato da un aggiornamento del malware loader noto come Hijack Loader, il quale ha implementato nuove funzionalità per eludere la rilevazione e mantenere la persistenza nei sistemi compromessi. Questo loader, scoperto per la prima volta nel 2023, è progettato per distribuire payload di seconda fase, come malware per il furto di informazioni, e utilizza vari moduli per bypassare i software di sicurezza e iniettare codice malevolo.

Novità significative

Una delle novità più significative del nuovo aggiornamento è l'introduzione del "call stack spoofing", una tecnica che nasconde l'origine delle chiamate di funzione, come le API e le chiamate di sistema. Questo metodo, già adottato da un altro malware loader chiamato CoffeeLoader, utilizza una catena di puntatori EBP per attraversare lo stack e sostituire i frame dello stack reali con quelli fabbricati, rendendo più difficile la rilevazione dell'attività malevola.

Oltre a ciò, Hijack Loader continua a sfruttare la tecnica del Heaven's Gate per eseguire syscalls diretti a 64 bit per l'iniezione di processi. Un'altra modifica rilevante è l'aggiornamento della lista dei processi bloccati, che ora include "avastsvc.exe", un componente dell'Antivirus Avast, per ritardare l'esecuzione di cinque secondi.

Nuovi moduli

Gli sviluppatori di Hijack Loader hanno introdotto anche due nuovi moduli: ANTIVM, per il rilevamento delle macchine virtuali, e modTask, che permette di stabilire la persistenza tramite attività pianificate. Questi aggiornamenti dimostrano che il malware è attivamente mantenuto dai suoi operatori, con l'obiettivo di complicare l'analisi e la rilevazione da parte degli esperti di sicurezza.

Nuove minacce

Nel frattempo, un'altra minaccia è stata dettagliata da Elastic Security Labs: un nuovo malware chiamato SHELBY, che utilizza GitHub per il comando e controllo, l'esfiltrazione dei dati e il controllo remoto. Questo malware viene distribuito tramite email di phishing e utilizza un file ZIP contenente un binario .NET per eseguire un loader DLL noto come SHELBYLOADER. Una volta attivo, il loader comunica con GitHub per estrarre un valore specifico da un file nel repository controllato dagli attaccanti, utilizzandolo per generare una chiave di decrittazione AES e caricare il payload principale senza lasciare tracce rilevabili sul disco.

Infine, è stato osservato che email di phishing mirate a pagamenti stanno distribuendo un altro loader di malware chiamato Emmenhtal Loader, che funge da tramite per SmokeLoader. Questo utilizza il .NET Reactor, uno strumento di protezione commerciale, per offuscare e impaccare il malware, allineandosi alle tendenze di altre famiglie di malware che cercano di evitare l'analisi grazie ai suoi meccanismi anti-analisi robusti.