Тёмная сторона цифровой подписи: как распространяется Hijack Loader?
Новая волна атак использует системные утилиты Windows для обхода защиты.
Исследователи из французской компании HarfangLab обнаружили новую зловредную кампанию, распространяющую вредоносный загрузчик Hijack Loader с использованием легитимных сертификатов цифровой подписи. Злонамеренная активность была зафиксирована в начале октября, в то время как целью атаки стала установка программы для кражи данных под названием Lumma.
Hijack Loader, также известный как DOILoader и SHADOWLADDER, впервые стал известен в сентябре 2023 года. Он распространяется через загрузку поддельных файлов под видом пиратского программного обеспечения или фильмов. Новые версии атак направляют пользователей на фальшивые CAPTCHA-страницы, где предлагается ввести и запустить вредоносную команду PowerShell, загружающую заражённый архив.
HarfangLab наблюдала три вариации вредоносного скрипта PowerShell с середины сентября этого года. Среди них — скрипты, использующие «mshta.exe» и «msiexec.exe» для выполнения кода и загрузки вредоносных данных с удалённых серверов.
Архив, который скачивают жертвы, содержит как легитимный исполняемый файл, так и вредоносный DLL, загружающий Hijack Loader. Вредоносный файл расшифровывает и выполняет закодированные данные, предназначенные для загрузки и запуска инфостилера.
С октября 2024 года злоумышленники начали использовать подписанные бинарные файлы вместо DLL, чтобы избежать обнаружения антивирусными программами. Хотя неясно, были ли все сертификаты украдены, эксперты считают, что некоторые из них могли быть сгенерированы злоумышленниками. Как сообщается, сертификаты, использовавшиеся для подписания вредоносного ПО, уже были отозваны.
Компания SonicWall недавно также сообщила о росте атак, направленных на заражение Windows, но уже при помощи вредоноса CoreWarrior — троянца, который быстро распространяется, создавая множество копий себя и создавая бэкдоры для удалённого доступа.
Использование легитимных цифровых подписей для распространения вредоносного ПО показывает, что даже привычные методы защиты могут стать эффективным инструментом в руках злоумышленников. Это подчёркивает важность постоянного совершенствования кибербезопасности и настороженности к любым подозрительным действиям, даже если они, на первый взгляд, кажутся безопасными.