HijackLoader というマルウェア・ローダー:アンチ回避とインジェクション機能に優れる

New HijackLoader Modular Malware Loader Making Waves in the Cybercrime World

2023/09/11 TheHackerNews — DanaBot/SystemBC/RedLine Stealer などの各種ペイロードを配信する、HijackLoaderと呼ばれる新たなマルウェア・ローダーが、サイバー犯罪者コミュニティで人気を集めている。Zscaler ThreatLabz の研究者である Nikolaos Pantazopoulos は、「HijackLoaderは高度な機能を備えていないが、大半のローダーが備えていないモジュラー・アーキテクチャを用いることで、コード・インジェクションを容易にする」と述べている。


この、2023年7月に Zscaler が観測したマルウェアは、レーダーを回避するために数多くのテクニックを採用している。具体的に言うと、セキュリティ・ソリューションからの監視を回避するための syscalls の使用や、組み込まれたブロック・リスト・ベースのセキュリティ関連プロセスの監視、各種のステップにおけるコード実行の 40秒遅延などが含まれる。

ターゲットに侵入するために用いるイニシャル・アクセス・ベクターは、現在のところ不明である。このローダーは、アンチ解析に優れているだけではなく、組み込みモジュールを用いた柔軟なコードの注入/実行を容易にする、メイン・インストゥルメンテーション・モジュールを搭載している。

侵害したホスト上での永続性の確保は、Windows の Startup フォルダにショートカットファイル (LNK) を作成し、それを Background Intelligent Transfer Service (BITS) ジョブに指定することで達成される。

Nikolaos Pantazopoulos は、「HijackLoader は、回避テクニックを備えたモジュール式ローダーであり、悪意のペイロードに対して各種のロード・オプションを提供している。さらに、このローダーには高度な機能はなく、コードの質も低い」と述べている。

以前に PrivateLoader と名付けられていた、pay-per-install (PPI) 型マルウェア・ダウンローダー・サービスにより、RisePro という情報窃取型マルウェアのアップデート・バージョン配布されたことを、先日に Flashpoint が公表している。今回の発表は、それを受けてのものだ。

Flashpoint は、「この販売者は広告の中で、RedLine と Vidar の良いところを取り入れて、強力なステイラーを作ったと主張していた。そして今回の販売者は、RisePro のユーザーに対して新たな利点を約束している。それは、販売者にログを盗まれないようにするために、自分のパネルをホストするというものだ」と指摘している。

C++で書かれた RisePro は、2022年12月から販売されており、感染させたマシン上の機密情報を採取し、ログの形で Command and Control (C2) サーバへ流出させるように設計されている。

また、Node.js で書かれた、新しい情報窃取ツールも発見されている。このツールは実行ファイルにパッケージ化され、悪意の Large Language Model (LLM) をテーマにした Facebook 広告や、ByteDance の CapCut ビデオ・エディタを装う偽 Web サイトを通じて配布されている。

セキュリティ研究者である Jaromir Horejsi は、「この情報スティーラーが実行されると、複数の Chromium ベースの Web ブラウザからクッキーと認証情報が盗まれ、C2 サーバと Telegram ボットにデータが流出していく」と述べている。

また、GraphQL を実行している C2 サーバに対して、クライアントはサブスクライブされてしまう。そして、この C2 サーバがクライアントにメッセージを送ると、窃取機能が再び実行される。対象となるブラウザは、Google Chrome/Microsoft Edge/Opera/OperaGX/Brave などである。

CapCut の偽サイトが情報スティーラーを配信することが確認されたのは、今回が2度目である。2023年5月にも Cyble は、このソフトウェアをルアーとして悪用し、ユーザーを騙して Offx Stealer と RedLine Stealer を実行させる、2種類の攻撃チェーンを発見している。

このような動きが描き出すのは、常に進化を続けるサイバー犯罪のエコシステムの姿である。そして、このスティーラー感染は、組織に侵入し脅威アクターが、その後の行動を実行するために使用する、主要なイニシャル攻撃ベクターとして機能している。

したがって、脅威アクターが時流に乗って、到達できる顧客の範囲と影響力を最大化するための、スイス ・アーミー・ナイフ的な機能を組み込んだ、Prysmax などの新たな窃取マルウェア株を生み出していることは驚くべきことではない。

Cyfirma は、「Python ベースのマルウェアは、悪意のコードと依存関係の全てを、単一の実行ファイルにバンドルするために Pyinstaller を用いてパックされている。この情報窃取マルウェアは、Windows Defender を無効化し、その設定を操作し、脅威に対する独自の対応を設定しようとしている」と述べている。

同社は、「また Prysmax は、追跡される可能性を減らし、侵害したシステム上の足場を維持しようとする。このマルウェアは、動的解析サンドボックスだけでなく、セキュリティ・ツールによる検出も回避しながら、データの窃取/流出を実現するという、優れた設計を施されている」と付け加えている。

マルウェアの分類ですが、最近では情報スティーラーとマルウェア・ローダーいう言葉が、なんの注釈もなく用いられるようになりました。そんなローダーの1つとして HijackLoader が取り上げられていますが、記事の後半では別のマルウェアについても触れられています。次から次へと出てくる、新種と亜種との、終わりのない追いかけっこが続きます。