- O HijackLoader continua a tornar-se cada vez mais popular entre os adversários;
- Uma variante recente do HijackLoader emprega técnicas sofisticadas para aumentar a sua complexidade e evasão à defesa;
- A CrowdStrike detectou esta nova variante do HijackLoader utilizando machine learning baseada em comportamento.
Os investigadores da CrowdStrike identificaram uma amostra do HijackLoader (também conhecido como IDAT Loader) que utiliza técnicas de evasão sofisticadas para aumentar a complexidade da ameaça. O HijackLoader é uma ferramenta cada vez mais popular entre os adversários para a implementação de cargas úteis e ferramentas adicionais, e continua a evoluir à medida que os seus programadores melhoram as suas capacidades. Ao analisar uma amostra recente do HijackLoader, os investigadores da CrowdStrike descobriram novas técnicas utilizadas para aumentar as capacidades de evasão de defesa, que tem o potencial de tornar o processo mais furtivo. Os pesquisadores também observaram técnicas adicionais de unhooking usadas para ocultar atividades maliciosas.
Uma das novas técnicas mais interessantes usadas pelo HijackLoader é uma variação de esvaziamento de processo interativo, em que, em vez de criar um “processo filho” em um estado estático, o processo é executado aguardando a entrada de um pipe. Por exemplo, em vez de ter um motorista de fuga esperando em frente ao banco enquanto os assaltantes o estão roubando, o motorista de fuga está circulando pelo quarteirão aguardando um aviso dos assaltantes para ir buscá-los. Em resumo, um carro que está apenas dando voltas no quarteirão e agindo normalmente é menos suspeito do que um estacionado em frente ao banco com o motor ligado.
Outra variação de técnica envolve o encadeamento de processos de doppelgänging e técnicas de hollowing de processos para aprimorar seus recursos de evasão. Para usar uma analogia simples, um assaltante de banco disfarçado de segurança consegue passar pela porta da frente, mas se ele mostrar um crachá de segurança, é muito mais provável que consiga chegar ao cofre. A combinação de vários recursos de evasão de defesa aumenta as chances de uma ameaça se manter discreta por mais tempo.
