采用模块化设计逃避检测，安全公司披露恶意载入器HijackLoader

IT之家 5 月 10 日消息，安全公司 Zscaler 近日发布报告，披露了一款采用“模块化设计”的恶意载入器 HijackLoader，这款载入器可以加装各种模块以进行脚本注入、远程命令执行等操作，同时还能够根据用户设备端情况“智能”逃避检测。

据悉，相关载入器能够绕过 UAC 措施将黑客恶意软件加入到微软 Defender 白名单中，还支持进程空洞（Process Hollowing）、管道触发激活、进程分身等策略，同时还拥有额外的脱钩技术。

IT之家注意到，安全公司披露了一个复杂的 HijackLoader 样本，该样本以 Streaming_client.exe 启动，利用“混淆配置”逃避防火墙静态分析，之后使用 WinHTTP API 通过访问 https [:]//nginx [.] org 来测试互联网连接，并通过远程服务器下载第二阶段攻击所需配置。

在成功下载第二阶段配置后，相关样本便会搜索 PNG 标头字节，并使用 XOR 进行解密，同时使用 RtlDecompressBuffer API 进行解压缩。随后加载配置中指定的“合法”Windows DLL，将 shellcode 写入其 .text 部分以供其执行（将恶意代码嵌入到合法进程中）。

此后，该恶意软件利用被称为“Heaven's Gate”的挂钩方案将额外的 shellcode 注入 cmd.exe，之后 使用进程空洞将最终有效负载（例如 Cobalt Strike 信标）注入到 logagent.exe 中。

研究人员同时发现，黑客主要利用 HijackLoader 散布名为 Amadey 的恶意软件，以及勒索软件 Lumma，用于随机加密受害者设备上的重要文件，并借机向受害者勒索数字货币。