Mit <kes>+ lesen

Neue Umgehungsmethoden der HijackLoader-Malware offengelegt

Die Kriminellen hinter der HijackLoader-Malware haben neue Wege gefunden, um Sicherheitsmaßnahmen zu umgehen. Grund für die neue Entwicklung ist, dass die Malware inzwischen immer öfter auch von anderen Angreifern genutzt wird, um bei ihren Aktionen zusätzliche schädliche Inhalte und Werkzeuge einzuschleusen.

Bedrohungen
Lesezeit 2 Min.

Forscher von CrowdStrike berichten, dass der Malware-Entwickler eine Standardtechnik nutzt, durch die Sicherheitsprozesse zum Teil ins Leere laufen. Zusammen mit einem zusätzlichen Auslöser, der durch das Schreiben des Elternprozesses in eine Pipe aktiviert wird, erleichtert dieser neue Ansatz die Umgehung von Verteidigungsmechanismen.

HijackLoader wurde erstmals im September 2023 von Zscaler ThreatLabz entdeckt und diente als Verbreitungskanal für DanaBot, SystemBC und RedLine Stealer. Die Malware hat große Ähnlichkeit mit IDAT Loader. Oft werden die beiden Namen auch synonym verwendet. Es wird angenommen, dass beide „Loader“ von derselben Cybercrime-Gruppe betrieben werden. In den letzten Monaten wurde HijackLoader über ClearFake verbreitet und von der Gruppe TA544 (auch bekannt als Narwhal Spider, Gold Essex und Ursnif Gang) verwendet, um Remcos RAT und SystemBC über Phishing-Nachrichten zu verbreiten.

Laut Liviu Arsene, dem Leiter der Bedrohungsforschung bei CrowdStrike, handelt es sich bei Loadern um Trojaner in Verkleidung. Die neue Variante von HijackLoader entzieht sich der Sichtbarkeit durch die Nutzung und Erforschung neuer Techniken. Dies macht sie noch unauffälliger, komplexer und schwerer zu analysieren. Im Wesentlichen handelt es sich um die Verbesserung ihrer digitalen Tarnung.

Vorgehen

Die mehrstufigen Angriffe beginnen in der Regel mit einer Datei namens „streaming_client.exe“, die überprüft, ob eine Internetverbindung besteht, und dann in einem zweiten Schritt eine Konfigurationsdatei von einem entfernten Server herunterlädt.

Anschließend lädt die Konfigurationsdatei eine darin genannte, legitime Dynamic-Link-Library (DLL) herunter. Diese DLL wiederum aktiviert einen Shellcode, der dafür sorgt, dass die HijackLoader-Malware gestartet wird. Dabei werden Techniken wie Prozess-Doppelgänging und Prozess-Hollowing verwendet, um die Analyse zu erschweren und Verteidigungsmechanismen zu umgehen.

Laut der Sicherheitsexperten führt der HijackLoader in der zweiten Stufe einen positionsunabhängige Shellcode aus, der dann einige Tarnungsaktivitäten durchführt, um Benutzermodus-Hooks mithilfe von „Heaven’s Gate“ zu umgehen. Anschließend wird weiterer Shellcode in die cmd.exe eingeschleust.

Der Shellcode der dritten Stufe wird über eine spezielle Variante des Process Hollowing eingeschleust. Dabei wird eine „ausgehöhlte“ mshtml.dll in den neu erstellten cmd.exe-Kind-Prozess eingefügt.

Heaven’s Gate ist ein raffinierter Trick, der es bösartiger Software ermöglicht, Sicherheitsprodukte für Endgeräte zu umgehen. Dabei wird 64-Bit-Code in 32-Bit-Prozessen in Windows ausgeführt, um Hooks im Benutzermodus ins Leere laufen zu lassen.

Eine wichtige Umgehungstechnik in den Angriffssequenzen von HijackLoader ist die Verwendung von Transacted Hollowing, einem Prozessinjektionsmechanismus, der bereits in anderer Malware wie dem Bankentrojaner Osiris beobachtet wurde.

„Loader dienen als versteckte Plattformen, über die Angreifer anspruchsvollere Malware und Tools einschleusen und ausführen können, ohne zu Beginn zu viele Ressourcen zu verbrauchen“, so Arsene. „Die Investition in neue Umgehungsfähigkeiten für HijackLoader zielt darauf ab, die Malware noch unauffälliger zu machen und traditionelle Sicherheitslösungen zu umgehen. Diese neuen Techniken zeigen eine bewusste Weiterentwicklung der bestehenden Verteidigungsumgehung und erhöhen die Komplexität der Analyse für Bedrohungsforscher.“

Diesen Beitrag teilen: