據安全機構Zscaler近期發(fā)布的報告稱，新型惡意加載器HijackLoader已被開發(fā)出來，它具有模塊化設計，可添加各類功能，以便進行腳本注入和遠程命令執(zhí)行。更值得關注的是，該加載器能根據用戶設備狀況靈活地躲避檢測。

據了解，此類加載器有能力繞過UAC防護，將黑客惡意軟件納入Microsoft Defender白名單，并支持進程空洞、管道觸發(fā)激活及進程分身等多種策略。此外，它還具備額外的脫鉤技術。

IT之家注意到，安全公司揭示了一個復雜的HijackLoader樣本，該樣本以Streaming_client.exe啟動，利用混淆配置避開防火墻靜態(tài)分析。然后，它使用WinHTTP API訪問https://nginx.org測試網絡連接，并從遠程服務器下載第二階段攻擊所需配置。

在成功下載第二階段配置后，樣本開始搜索PNG頭部字節(jié)，用XOR解密，再借助RtlDecompressBuffer API進行解壓。接著，它加載配置中指定的“合法”Windows DLL，將shellcode寫入其中，使之得以執(zhí)行（將惡意代碼嵌入到合法進程中）。

接下來，該惡意軟件運用“Heaven‘s Gate”掛鉤方案將額外的shellcode注入cmd.exe，然后利用進程空洞將最終有效負載（如Cobalt Strike信標）注入logagent.exe。

研究人員進一步發(fā)現，黑客主要利用HijackLoader傳播名為Amadey的惡意軟件，以及勒索軟件Lumma，它們會隨機加密受害者設備上的重要文件，并以此為由向受害者勒索數字貨幣。