Исследователи безопасности из Zscaler ThreatLabz обнаружили новый загрузчик вредоносного ПО под названием HijackLoader, который был впервые замечен в июле 2023 года и позволяет доставлять полезные нагрузки DanaBot, SystemBC и RedLine Stealer.
Несмотря на отсутствие продвинутых функций, загрузчик использует модульную архитектуру для инъекции и выполнения кода, что является редкостью для большинства загрузчиков, пишет Securitylab.
HijackLoader применяет несколько методов для обхода систем безопасности, включая использование системных вызовов для уклонения от мониторинга, а также отложенное выполнение кода на различных этапах до 40 секунд. Постоянство на скомпрометированном хосте достигается путем создания LNK-ярлыка в папке автозагрузки Windows, который указывает на задание Фоновой интеллектуальной службы передачи (Background Intelligent Transfer Service, BITS).
Точный вектор заражения HijackLoader на данный момент неизвестен. Несмотря на аспекты антианализа, загрузчик включается в основной инструментальный модуль, который обеспечивает гибкое внедрение и выполнение кода с использованием встроенных модулей.