Обновлённый HijackLoader использует PNG-картинки для обхода антивирусов

RutoR

Support81

Original poster
Administrator
Сообщения
1 020
Реакции
204
Посетить сайт
Знаменитая техника «Heaven's Gate» открывает врата в мир вредоносного ПО.
hijack.jpg


Недавно специалисты по кибербезопасности заметили новую версию зловредного ПО HijackLoader, которое теперь включает усовершенствованные методы противодействию анализа. Это позволяет вредоносу оставаться незамеченным в скомпрометированных сетях на протяжении более длительных периодов времени.

Исследователи из компании

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

в своём

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

сообщили, что новые функции направлены на повышение скрытности вредоносного ПО. Так, HijackLoader, также известный как IDAT Loader, теперь может добавлять исключения для антивируса Windows Defender, обходить контроль учётных записей пользователей (UAC), избегать перехват API, который часто используется антивирусными программами для обнаружения, а также использовать технику

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

.


Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

в сентябре 2023 года, HijackLoader уже использовался для распространения различных семейств вредоносного ПО, включая Amadey, Lumma Stealer, Meta Stealer, Racoon Stealer V2, Remcos RAT и Rhadamanthys.

Особое внимание привлекает последняя версия загрузчика, которая использует метод расшифровки и анализа изображения PNG для загрузки следующей стадии вредоносного ПО. Эта техника была

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

компанией

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

в связи с кампанией, нацеленной на ряд объектов в Финляндии.

Первая стадия загрузчика отвечает за извлечение и запуск второй стадии из изображения PNG, которое может быть встроено в него или загружено отдельно в зависимости от конфигурации вредоносного ПО. Для увеличения скрытности вторая стадия использует дополнительные техники противодействия анализу с использованием сразу нескольких разных модулей.

Ещё одна особенность последних версий вредоносного ПО — использование техники

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

для обхода блокировок пользовательского режима, о которой в феврале 2024 года

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

компания

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

.

Amadey остаётся самым распространённым семейством вредоносных программ, доставляемых с помощью HijackLoader. Новые модули, интегрированные в загрузчик, усиливают его возможности и делают его ещё более устойчивым к обнаружению.

В последнее время также наблюдается распространение других вредоносных программ через рекламу и фишинг, включая семейства DarkGate, FakeBat и GuLoader, а также появление вора данных TesseractStealer, которое использует оптическое распознавание символов для извлечения текста из изображений.
Подробнее:

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

 
Название темы
Автор Заголовок Раздел Ответы Дата
Support81 Mekotio: обновлённый банковский троян нацелился на Латинскую Америку Новости в сети 0
Support81 Обновлённый Meduza Stealer: киберпреступники поднимают ставки Новости в сети 0
turbion0 Новая мошенническая схема, нацеленная на индивидуальных предпринимателей и тех, кто использует режим «Налог на профессиональный доход» Новости в сети 0
Support81 Пользователи Windows, будьте осторожны: DarkGate использует уязвимость нулевого дня Новости в сети 0
Support81 Bifrost: старый троян использует новые трюки, чтобы украсть вашу идентичность Новости в сети 0
Support81 Градус email-фишинга повышается: TA866 использует новый метод атаки Новости в сети 0
Support81 Ботнет DreamBus использует уязвимость в RocketMQ для распространения майнера Новости в сети 0
S Троян Magala использует виртуальные рабочие столы для кликов на рекламу Новости в сети 0

Название темы

Русскоязычный Даркнет Форум