اكتشاف نسخة محدثة من Hijack Loader بقدرات تخفي متطورة

اكتشاف نسخة محدثة من Hijack Loader بقدرات تخفي متطورة
اكتشاف نسخة محدثة من Hijack Loader بقدرات تخفي متطورة
شارك هذا الخبر

اكتشف باحثو الأمن السيبراني نسخة محدثة من أداة تحميل البرمجيات الخبيثة المعروفة باسم Hijack Loader، والتي تتضمن ميزات جديدة تهدف إلى تجنب الكشف وضمان البقاء على الأنظمة المصابة.

قال الباحث محمد عرفان من فريق Zscaler ThreatLabz:

“أطلقت Hijack Loader وحدة جديدة تستخدم تقنية Call Stack Spoofing لإخفاء مصدر استدعاءات الوظائف (مثل استدعاءات API والنظام)، كما أضافت وحدة لفحص البيئات الافتراضية (Anti-VM) لاكتشاف أدوات تحليل البرمجيات الخبيثة.”

Hijack Loader: سلاح خبيث متعدد الاستخدامات

تم اكتشاف Hijack Loader لأول مرة في عام 2023، ويُستخدم لتسليم حمولات خبيثة مثل أدوات سرقة المعلومات، كما يتمتع بوحدات لتجاوز أنظمة الحماية وحقن الأكواد الخبيثة.
يُعرف هذا اللودر أيضاً بأسماء: DOILoader، GHOSTPULSE، IDAT Loader، SHADOWLADDER.

في أكتوبر 2024، وثّقت شركات HarfangLab وElastic Security Labs حملات استخدمت Hijack Loader مع شهادات توقيع رقمية شرعية وتكتيكات شهيرة مثل ClickFix.

ميزات التخفي والتحايل على أنظمة الحماية

من أبرز تقنيات التخفي في النسخة الجديدة:

  • Call Stack Spoofing: تستخدم سلاسل وهمية في مكدس الاستدعاءات لإخفاء الأنشطة الخبيثة.

  • Heaven’s Gate: تقنية تسمح بتنفيذ أوامر 64-بت مباشرة على النظام.

  • Anti-VM Module: للكشف عن بيئات التحليل الافتراضية.

  • modTask Module: لإنشاء مهام مجدولة تضمن استمرارية عمل البرمجية.

  • تعديل قائمة العمليات المحظورة لتشمل عمليات مكافحة الفيروسات مثل “avastsvc.exe” وتأخير التنفيذ 5 ثوانٍ.

SHELBY Malware: استخدام GitHub كخادم تحكم وسيطرة (C2)

في تطور آخر، كشفت Elastic Security Labs عن عائلة برمجيات خبيثة جديدة تُدعى SHELBY، تستخدم GitHub لخدمة التحكم والسيطرة (Command and Control – C2)، وسرقة البيانات، والتحكم عن بُعد.

سلسلة الهجوم:

  1. رسالة تصيد إلكتروني موجهة تحتوي على ملف ZIP.

  2. داخل الأرشيف: ملف تنفيذي مبني بـ .NET يقوم بتحميل DLL خبيث يُعرف بـ SHELBYLOADER.

  3. يتم تنفيذ DLL عبر أسلوب التحميل الجانبي (DLL side-loading) باستخدام ملف يُدعى HTTPService.dll.

بعد التثبيت، يتواصل اللودر مع مستودع GitHub خاص بالمهاجم لاستخراج مفتاح تشفير AES من ملف “License.txt” ويستخدمه لفك تشفير الحمولة الرئيسية HTTPApi.dll وتحميلها مباشرة في الذاكرة.

قدرات SHELBY:

  • تنفيذ أوامر PowerShell

  • تحميل ورفع ملفات من/إلى GitHub

  • تحميل ملفات .NET وتشغيلها بشكل انعكاسي

  • استخدام ملفات “Command.txt” لتلقي التعليمات

  • كل هذا يتم عبر رمز وصول شخصي (PAT)، مما يسمح لأي شخص بحوزته بالوصول إلى أوامر المهاجم

Emmenhtal Loader يوزع SmokeLoader باستخدام ملفات 7-Zip

رُصدت أيضًا رسائل تصيد تحتوي على محتوى متعلق بالدفعات المالية تقوم بتوزيع برمجية تحميل تُعرف باسم Emmenhtal Loader (أو PEAKLIGHT)، والتي تعمل كوسيط لتثبيت برمجية خبيثة أخرى تُدعى SmokeLoader.

أحد الأساليب اللافتة في هذه العينة هو استخدام .NET Reactor، وهي أداة تجارية لحماية تطبيقات .NET من خلال التمويه والتشفير.

قالت شركة GDATA:

“على الرغم من أن SmokeLoader كانت تستخدم سابقًا أدوات مثل Themida وEnigma Protector، فإن استخدام .NET Reactor يعكس اتجاهًا متزايدًا بين البرمجيات الخبيثة من نوع stealers وloaders بفضل قدراتها القوية في مكافحة التحليل العكسي.”

وسوم
محمد طاهر
محمد طاهر
المقالات: 143

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة