Os cibercriminosos continuam a evoluir suas técnicas para evitar detecção, e a mais recente atualização do Hijack Loader exemplifica esse avanço. Esse downloader, conhecido por sua capacidade de distribuir malware sem levantar suspeitas, recebeu melhorias significativas, tornando-se ainda mais difícil de ser identificado por ferramentas de segurança.
Leia também
IA fortifica crime organizado, aponta União Europeia
TsarBot rouba dados bancários móveis
A principal inovação dessa versão é a substituição da pilha de chamadas, permitindo que o malware oculte a origem das chamadas para funções da API do sistema operacional. Isso dificulta a análise por especialistas e impede a detecção por mecanismos automatizados de segurança. O uso de falsificação de quadros de pilha, com manipulação da cadeia de ponteiros EBP, permite mascarar a verdadeira execução do código malicioso. Essa técnica tem sido utilizada por outros loaders, como o Carregador de Café.
Desde que foi identificado em 2023, o Hijack Loader tem sido amplamente utilizado para entregar módulos de infostealers e outros malwares de segundo estágio. Ele se destaca por seu arsenal de técnicas de evasão, que incluem a injeção de código em processos legítimos e o uso de assinaturas digitais válidas para mascarar suas atividades. Em campanhas anteriores, esse loader explorou o método ClickFix, disfarçando downloads de malware como atualizações de software confiáveis.
A versão mais recente inclui novas estratégias para contornar antivírus e reforçar sua persistência no sistema. Foi observado um atraso de cinco segundos ao interagir com o processo “avastsvc.exe”, componente do Avast, sugerindo que o malware adota uma abordagem para evitar detecção por antivírus que monitoram processos em tempo real. Além disso, ele emprega a técnica Heaven’s Gate, que possibilita a execução de chamadas diretas ao sistema no modo de 64 bits, permitindo a injeção de código malicioso de forma furtiva.
Dois novos módulos foram adicionados ao Hijack Loader. O primeiro, ANTIVM, é capaz de detectar ambientes de máquinas virtuais, o que sugere um esforço para evitar sandboxes de análise de malware. O segundo, modTask, garante persistência no sistema ao criar tarefas automáticas no agendador do Windows, permitindo que o código malicioso seja executado automaticamente na inicialização sem necessidade de ação do usuário.
A evolução constante do Hijack Loader indica que seus desenvolvedores estão ativamente aprimorando suas capacidades para driblar a segurança e prolongar a eficácia de suas campanhas. A introdução de técnicas mais sofisticadas dificulta o trabalho de pesquisadores e aumenta a longevidade das infecções, tornando esse malware uma ameaça persistente no cenário de segurança cibernética.
