Злоумышленники продолжают совершенствовать средства доставки вредоносного ПО, и новое обновление Hijack Loader — яркий тому пример. Исследователи из компании Zscaler выявили свежую версию этого загрузчика, получившего популярность среди киберпреступников за счёт своей способности обходить защитные механизмы и обеспечивать скрытную загрузку других вредоносных компонентов. Теперь инструмент научился маскировать происхождение системных вызовов, проверять виртуальные среды и сохранять своё присутствие в системе, пишут в Securitylab.
Главным нововведением стала реализация подмены стека вызовов, позволяющей скрывать источник обращения к функциям API. Такая тактика значительно затрудняет анализ, особенно при работе с системами отладки и в песочницах. Подделка кадров стека с помощью цепочки указателей EBP позволяет заменить реальные записи на фальшивые, тем самым скрывая следы работы вредоносного кода. Аналогичную технику недавно начали применять и авторы другого загрузчика — CoffeeLoader .
Hijack Loader был впервые зафиксирован в 2023 году и за это время успел обзавестись несколькими именами — DOILoader, GHOSTPULSE, IDAT Loader и SHADOWLADDER. Он используется для доставки модулей второго этапа, таких как инфостилеры, и включает в себя целый арсенал средств обхода антивирусов и внедрения кода в легитимные процессы.
Осенью 2024 года исследователи из HarfangLab и Elastic Security Labs описали кампанию по распространению Hijack Loader, в рамках которой использовались подлинные сертификаты цифровой подписи и стратегия ClickFix — популярный способ маскировки загрузки вредоноса под легитимные обновления.