Антивирусы на паузе: 5 секунд задержки для скрытой атаки

Злоумышленники продолжают совершенствовать средства доставки вредоносного ПО, и новое обновление Hijack Loader — яркий тому пример. Исследователи из компании Zscaler выявили свежую версию этого загрузчика, получившего популярность среди киберпреступников за счёт своей способности обходить защитные механизмы и обеспечивать скрытную загрузку других вредоносных компонентов. Теперь инструмент научился маскировать происхождение системных вызовов, проверять виртуальные среды и сохранять своё присутствие в системе.

Главным нововведением стала реализация подмены стека вызовов, позволяющей скрывать источник обращения к функциям API. Такая тактика значительно затрудняет анализ, особенно при работе с системами отладки и в песочницах. Подделка кадров стека с помощью цепочки указателей EBP позволяет заменить реальные записи на фальшивые, тем самым скрывая следы работы вредоносного кода. Аналогичную технику недавно начали применять и авторы другого загрузчика — CoffeeLoader .

Hijack Loader был впервые зафиксирован в 2023 году и за это время успел обзавестись несколькими именами — DOILoader, GHOSTPULSE, IDAT Loader и SHADOWLADDER. Он используется для доставки модулей второго этапа, таких как инфостилеры, и включает в себя целый арсенал средств обхода антивирусов и внедрения кода в легитимные процессы.

Осенью 2024 года исследователи из HarfangLab и Elastic Security Labs описали кампанию по распространению Hijack Loader, в рамках которой использовались подлинные сертификаты цифровой подписи и стратегия ClickFix — популярный способ маскировки загрузки вредоноса под легитимные обновления.

Среди других изменений в новой версии — обновлённый список запрещённых процессов. Теперь туда включён компонент антивируса Avast под названием «avastsvc.exe», запуск которого вызывает задержку в пять секунд — вероятно, для обхода обнаружения. Также задействована техника Heaven’s Gate, позволяющая выполнять прямые системные вызовы в 64-битном режиме — она применяется для внедрения вредоносного кода в другие процессы.

Загрузчик обзавёлся двумя новыми модулями. Первый, ANTIVM, отвечает за обнаружение виртуальных машин и, скорее всего, используется для выявления исследовательских сред. Второй, modTask, обеспечивает устойчивость за счёт добавления задач в планировщик Windows. Это позволяет запускать вредоносный код при старте системы без участия пользователя.

Согласно наблюдениям исследователей, Hijack Loader находится в активной разработке. Его создатели не только адаптируются к новым условиям, но и целенаправленно внедряют техники усложнённого анализа, чтобы замедлить работу специалистов по кибербезопасности и увеличить срок жизни вредоносной кампании.