Trình tải phần mềm độc hại mới có tên HijackLoader đang thu hút sự chú ý của cộng đồng tội phạm mạng để cung cấp nhiều tải trọng khác nhau như DanaBot , SystemBC và RedLine Stealer .
Nhà nghiên cứu Nikolaos Pantazopoulos của Zscaler ThreatLabz cho biết : “Mặc dù HijackLoader không chứa các tính năng nâng cao nhưng nó có khả năng sử dụng nhiều mô-đun khác nhau để chèn và thực thi mã vì nó sử dụng kiến trúc mô-đun, một tính năng mà hầu hết các trình tải không có” .
Được công ty quan sát lần đầu tiên vào tháng 7 năm 2023, phần mềm độc hại này sử dụng một số kỹ thuật để bay dưới tầm radar. Điều này liên quan đến việc sử dụng syscalls để trốn tránh sự giám sát từ các giải pháp bảo mật, giám sát các quy trình liên quan đến phần mềm bảo mật dựa trên danh sách chặn được nhúng và trì hoãn việc thực thi mã tới 40 giây ở các giai đoạn khác nhau.
Hiện tại, vectơ truy cập ban đầu chính xác được sử dụng để xâm nhập vào các mục tiêu vẫn chưa được biết. Bất chấp các khía cạnh chống phân tích, bộ tải gói trong một mô-đun thiết bị đo chính tạo điều kiện thuận lợi cho việc chèn và thực thi mã linh hoạt bằng cách sử dụng các mô-đun nhúng.
Sự tồn tại trên máy chủ bị xâm nhập đạt được bằng cách tạo một tệp lối tắt (LNK) trong thư mục Windows Startup và trỏ nó đến công việc Dịch vụ truyền tải thông minh nền ( BITS ).
Pantazopoulos cho biết: “HijackLoader là một trình tải mô-đun với các kỹ thuật trốn tránh, cung cấp nhiều tùy chọn tải cho các tải trọng độc hại”. "Hơn nữa, nó không có bất kỳ tính năng nâng cao nào và chất lượng mã kém."
Tiết lộ này được đưa ra khi Flashpoint tiết lộ chi tiết về phiên bản cập nhật của phần mềm độc hại đánh cắp thông tin có tên RisePro , trước đây được phân phối thông qua dịch vụ tải xuống phần mềm độc hại trả tiền cho mỗi lần cài đặt (PPI) có tên PrivateLoader.
Flashpoint lưu ý : “Người bán tuyên bố trong quảng cáo của họ rằng họ đã tận dụng những khía cạnh tốt nhất của 'RedLine' và 'Vidar' để tạo ra một kẻ đánh cắp mạnh mẽ" . "Và lần này, người bán cũng hứa hẹn một lợi thế mới cho người dùng RisePro: khách hàng lưu trữ bảng điều khiển của riêng họ để đảm bảo nhật ký không bị người bán đánh cắp."
RisePro, được viết bằng C++, được thiết kế để thu thập thông tin nhạy cảm trên các máy bị nhiễm và chuyển nó sang máy chủ ra lệnh và kiểm soát (C&C) dưới dạng nhật ký. Nó được chào bán lần đầu tiên vào tháng 12 năm 2022.
Nó cũng theo sau việc phát hiện ra một kẻ đánh cắp thông tin mới được viết bằng Node.js được đóng gói thành một tệp thực thi và được phân phối thông qua các quảng cáo Facebook có chủ đề Mô hình ngôn ngữ lớn (LLM) độc hại và các trang web giả mạo mạo danh trình chỉnh sửa video CapCut của ByteDance.
Nhà nghiên cứu bảo mật Jaromir Horejsi cho biết : “Khi kẻ đánh cắp được thực thi, nó sẽ chạy chức năng chính là đánh cắp cookie và thông tin đăng nhập từ một số trình duyệt web dựa trên Chrome, sau đó lọc dữ liệu đến máy chủ C&C và bot Telegram” .
"Nó cũng đăng ký máy khách với máy chủ C&C chạy GraphQL. Khi máy chủ C&C gửi tin nhắn đến máy khách, chức năng đánh cắp sẽ chạy lại." Các trình duyệt được nhắm mục tiêu bao gồm Google Chrome, Microsoft Edge, Opera (và OperaGX) và Brave.
Đây là lần thứ hai các trang web CapCut giả mạo bị phát hiện cung cấp phần mềm độc hại đánh cắp. Vào tháng 5 năm 2023, Cyble đã phát hiện ra hai chuỗi tấn công khác nhau lợi dụng phần mềm này làm mồi nhử để lừa những người dùng không nghi ngờ chạy Offx Stealer và RedLine Stealer.
Những diễn biến này vẽ nên bức tranh về một hệ sinh thái tội phạm mạng không ngừng phát triển , trong đó các vụ lây nhiễm do kẻ đánh cắp đóng vai trò là vectơ tấn công ban đầu chính được các tác nhân đe dọa sử dụng để xâm nhập vào các tổ chức và thực hiện các hành động sau khi khai thác.
Do đó, không có gì đáng ngạc nhiên khi các tác nhân đe dọa đang nhảy vào cuộc để tạo ra các chủng phần mềm độc hại đánh cắp mới như Prysmax kết hợp các chức năng đa dạng của Quân đội Thụy Sĩ cho phép khách hàng của họ tối đa hóa phạm vi tiếp cận và tác động của chúng.
Cyfirma cho biết : “Phần mềm độc hại dựa trên Python được đóng gói bằng Pyinstaller, có thể được sử dụng để gói mã độc và tất cả các phần phụ thuộc của nó vào một tệp thực thi duy nhất” . “Phần mềm độc hại đánh cắp thông tin tập trung vào việc vô hiệu hóa Windows Defender, thao túng cài đặt của nó và định cấu hình phản ứng của chính nó trước các mối đe dọa.”
“Nó cũng cố gắng giảm khả năng truy xuất nguồn gốc và duy trì chỗ đứng trên hệ thống bị xâm nhập. Phần mềm độc hại dường như được thiết kế tốt để đánh cắp và lấy cắp dữ liệu, đồng thời trốn tránh sự phát hiện của các công cụ bảo mật cũng như hộp cát phân tích động.”