16/10/24
Исследователи из французской компании HarfangLab обнаружили новую зловредную кампанию, распространяющую вредоносный загрузчик Hijack Loader с использованием легитимных сертификатов цифровой подписи. Злонамеренная активность была зафиксирована в начале октября, в то время как целью атаки стала установка программы для кражи данных под названием Lumma, пишет Securitylab.
Hijack Loader, также известный как DOILoader и SHADOWLADDER, впервые стал известен в сентябре 2023 года. Он распространяется через загрузку поддельных файлов под видом пиратского программного обеспечения или фильмов. Новые версии атак направляют пользователей на фальшивые CAPTCHA-страницы, где предлагается ввести и запустить вредоносную команду PowerShell, загружающую заражённый архив.
HarfangLab наблюдала три вариации вредоносного скрипта PowerShell с середины сентября этого года. Среди них — скрипты, использующие «mshta.exe» и «msiexec.exe» для выполнения кода и загрузки вредоносных данных с удалённых серверов.
Архив, который скачивают жертвы, содержит как легитимный исполняемый файл, так и вредоносный DLL, загружающий Hijack Loader. Вредоносный файл расшифровывает и выполняет закодированные данные, предназначенные для загрузки и запуска инфостилера.
С октября 2024 года злоумышленники начали использовать подписанные двоичные файлы вместо DLL, чтобы избежать обнаружения антивирусными программами. Хотя неясно, были ли все сертификаты украдены, эксперты считают, что некоторые из них могли быть сгенерированы злоумышленниками. Как сообщается, сертификаты, использовавшиеся для подписания вредоносного ПО, уже были отозваны.
