Siber güvenlik araştırmacıları, tehdit aktörlerinin, modüler bir kötü amaçlı yazılım yükleyicisi olan HijackLoader’ı dağıtmak için korsan oyun indirmelerinden yararlandığı ve adblockers ve Microsoft Defender SmartScreen gibi ortak savunmaları etkili bir şekilde atladığı karmaşık bir kampanya ortaya çıkardılar.
Ublock Origin gibi araçlarla kullanıldığında genellikle korsan forumlarında “güvenli” olarak kabul edilen Dodi Repacks gibi siteler, bu kötü amaçlı yazılım için vektörler olarak hizmet eder.
Çatlak oyunları indirmeye çalışan kullanıcılar Zovo gibi alanlar aracılığıyla yeniden yönlendirilir[.]mürekkep ve downf[.]LOL-Mega barındırılmış Zip Arşivleri İç içe .7z dosyaları.
Bu arşivler, otomatik analizden kaçmak için sanal alan yükleme sınırlarını aşan divxdownloadManager.dll gibi büyük boy DLL’ler gibi görünüşte meşru dosyalardaki kötü niyetli yükleri gizler.
Korsanlık ağları aracılığıyla kötü amaçlı yazılım dağıtımı
Adblockers’a rağmen, enfeksiyon zinciri ilerler ve bu tür araçların yeterli koruma sağladığını iddia eder.
Analiz, kötü amaçlı yazılımın, Shell32.dll gibi sistem DLL’lerinde modül kullandığını, SIMD-Accelerated XOR döngüleri ve LZNT1 dekompresyonu kullanarak Quintillionth.ppt ve Paraffin.html gibi dosyalardan yapılandırmaların şifresini çözdüğünü ortaya koymaktadır.
Bu kurulum, hipervizörler için anti-VM kontrolleri, RAM eşikleri ve süreç sayıları da dahil olmak üzere sonraki aşamaları yükleyerek sadece uygun kurban makinelerinde yürütmeyi sağlıyor.
HanjackLoader’ın modüler mimarisi, CRC32 karmalar yoluyla API çözünürlüğü, cennetin kapı syscalls üzerinden yığın sahtekarlığı ve ntdll.dll ve wow64cpu.dll’in EDR araçlarını evlate çıkarması ile 40’a kadar bileşeni destekler.
WOW64 yeniden yönlendirmeyi, shdocvw.dll gibi DLL’lerden rastgele dışa aktarma kullanarak sahtekarlık dönüş adreslerini devre dışı bırakır ve RDTSC ve CPUID diferansiyelleri aracılığıyla zamana dayalı anti-debugging gerçekleştirir.
Yük dağıtım
Kalıcılık, başlangıç klasörlerindeki LNK dosyaları, modTask aracılığıyla planlanan görevler veya Bit Transferleri ile MODUAC Runas veya CMStplua’dan yararlanan kendi kendine elevatla elde edilir.
Enjeksiyon, Choice.exe gibi meşru yürütülebilir ürünleri veya Qihoo 360’dan XPFIX.EXE gibi imzalı ikili dosyaları, iplikleri devam ettirmek için boru girişi ile create_suspended bayraklar olmadan işlemi boşaltma kullanıyor.
AV Tassu için, AVAST, AVG ve Kaspersky gibi ürünleri Process Hashes yoluyla algılar, Windows Defender istisnalarını yükseltilmiş PowerShell komutları aracılığıyla devre dışı bırakır ve Lummac2 Stealer gibi yükleri dağıtır.
Son enjeksiyon, XOR tuşlarıyla yüklerin çözülmesini, yeniden yer değiştirmeleri çözmeyi ve RShell veya Esal gibi modüller aracılığıyla yürütülmesini, genellikle enjeksiyon sonrası tinystub PE dosyaları ile işlem gören bölümleri eşlemeyi içerir.
Bu kampanya, oyun sitelerinin ötesine uzanıyor, Tidal çalma listeleri gibi platformlar, Up-Topluluktaki kötü niyetli arşivlere bağlanıyor[.]Net ve Haftalık[.]Google’da çatlak yazılım aramalarının yaygın kötüye kullanılmasını vurgulayarak tıklayın.
TI ve RShell gibi modüllerde aktif gelişme, daha önce Remcos, ViDAR ve Redline Stealer gibi ailelerle bağlantılı olan Hanjackloader’ın evriminin altını çiziyor.
Uzlaşma Göstergeleri (IOCS)
| Kategori | Tanım | Detaylar |
|---|---|---|
| Alanlar | Yüksek riskli yönlendirme siteleri | directsnap.click, cazip1.lol, weeklyuploads.click |
| Dosya Adları | Kötü amaçlı dosyalar ve yükler | DivxdownloadManager.dll (dll/highackedExecution.a, SHA256: 5649F7535E38572096DDDCF3C50A66C51D189F31DC7769470E9A78C5B2EC34C); Quintillionth.ppt (jenerik trojan.xae, sha256: 8ef22b49Af1d7e67657bcfac9d02dd1bfcc1d3ae20d1bbcb1a60c9d023d18d5); parafin.html (Trojan/Highackloader.rw, SHA256: 0D24D4E72B7B22017C6FDE7B1A2DC1A1A1AD63B97B5811DC02C221A68D9D00C); Lummac2 yük (ACL/kötü amaçlı yazılım jenerik.brhj, SHA256: E575A3A2FBF1916D3AFB0A1ABFD8479C02B5B67755083F9A5D0E22EE738030A); Blackthorn.vhd (Trojan/Highackloader.rw, SHA256: 04677C4C70D9F61F011B0AC744F2DC5353AC0D1B4AA5D9EC37A291968D2A0B79); MSIL Trojan (T-Tro -Za, SHA256: EECDEA0F63F4E54D8EFB542700F37DA98865C0735D66D8ECF7E5E81AA64CFF20)) |
AWS Security Services: 10-Point Executive Checklist - Download for Free