بدافزار جدید به نام HijackLoader

بدافزار جدید به نام HijackLoader

تاریخ ایجاد

یک بدافزار انتشار جدید به نام HijackLoader در محیط سایبری به منظور ارسال انواع مختلفی از بدافزارهای مخرب مانند DanaBot، SystemBC و RedLine Stealer کشف گردیده است.
اگرچه HijackLoader شامل ویژگی‌های پیشرفته نمی‌شود، اما از این قابلیت برخوردار است که از انواع ماژول‌ها برای درج کد و اجرا استفاده کند، زیرا از یک معماری ماژولار استفاده می‌کند و این ویژگی در بیشتر منتشرکننده‌ها وجود ندارد.
این بدافزار شامل استفاده از syscalls برای اجتناب از نظارت توسط راه‌حل‌های امنیتی، نظارت بر فرآیندهای مرتبط با نرم‌افزارهای امنیتی بر اساس یک فهرست سیاه‌ جاسازی (Embedded Blocklist) شده و به تعویق انداختن اجرای کد تا حداکثر ۴۰ ثانیه در مراحل مختلف است.
بردار دسترسی اولیه برای نفوذ به اهداف در حال حاضر شناخته نشده است. این بارگذار دارای یک ماژول اصلی ابزاردهی است که اجرای کد و درج کد انعطاف‌پذیر را با استفاده از ماژول‌های جاسازی شده فراهم می‌کند.
پایداری در سیستم قربانی توسط ایجاد یک فایل میانبر (LNK) در پوشه راه‌اندازی ویندوز و اشاره به یک کار BITS (Background Intelligent Transfer Service) تحقق می‌یابد.
HijackLoader یک بارگذار ماژولار با تکنیک‌های جلوگیری است که انواع گزینه‌های بارگذاری برای بارهای مخرب فراهم می‌کند. علاوه بر این، هیچ ویژگی پیشرفته‌ای ندارد و کیفیت کد آن ضعیف است.
این افشا به معرفی نسخه به‌روزشده‌ای از بدافزار دزدی اطلاعات به نام RisePro از طریق خدمت‌دهنده دانلود بدافزار با پرداخت به نام PrivateLoader توسط Flashpoint همراه شد.
فروشنده در تبلیغات خود ادعا کرده است که بهترین جنبه‌های 'RedLine' و 'Vidar' را انتخاب کرده تا یک دزدی قدرتمند ایجاد کند.
 RisePro که به زبان C++ نوشته شده است، طراحی شده است تا اطلاعات حساس را از رایانه‌های آلوده جمع‌آوری کرده و به صورت گزارش‌ها به سرور کنترل فرمان و کنترل (C&C) ارسال کند. این بدافزار برای فروش اولین بار در دسامبر ۲۰۲۲ ارائه شد.
همچنین یک بدافزار جدید دزدی اطلاعات که با استفاده از Node.js نوشته شده و در یک فایل اجرایی قرار داده شده و از طریق تبلیغات فیس‌بوک با موضوع مدل زبان بزرگ (LLM) و وب‌سایت‌های تقلبی به عنوان ویرایشگر ویدیو CapCut شرکت ByteDance شناخته می‌شود، کشف شده است.
زمانی که اجرا می‌شود، کوکی‌ها و اعتبارهای خود را از چندین مرورگر وب مبتنی بر کروم سرقت می‌کند، سپس اطلاعات را به سرور C&C و به ربات تلگرام ارسال می‌کند و هنگامی که سرور C&C پیامی به مشتری ارسال می‌کند، عملکرد سرقت مجدداً اجرا می‌شود. مرورگرهای هدف شامل Google Chrome، Microsoft Edge، Opera (و OperaGX) و Brave هستند.
این دومین بار است که وب‌سایت‌های تقلبی CapCut مشاهده شده‌اند که امکان سرقت اطلاعات را ارائه می‌دهند. در ماه مه ۲۰۲۳، Cyble دو زنجیره حمله متفاوتی را کشف کرد که از نرم‌افزار به عنوان یک تلفیق‌کننده برای گول زدن کاربران ناشناخته برای اجرای Offx Stealer و RedLine Stealer استفاده می‌کردند.
تحولات و رخدادهای مختلفی که در حوزه جرم سایبری و حملات اینترنتی اتفاق می‌افتد، تصویری از یک سیستم پویا را نشان می‌دهند. این سیستم شامل تعاملات و فعالیت‌های متعددی از جمله ایجاد و گسترش نرم‌افزارهای مخرب، روش‌های جدیدی برای نفوذ به سیستم‌ها و شبکه‌ها، استفاده از تکنیک‌های تازه برای جلب توجه و سایر عوامل مرتبط با جرم سایبری می‌باشد.
این سیستم به طور مداوم در حال تکامل و تغییر است و عوامل تهدیدی در آن برای نفوذ به سازمان‌ها و انجام عملیات پس از نفوذ از طریق عفونت‌های دزدی از اطلاعات به عنوان یک برداشت حمله اصلی استفاده می‌کنند. این تغییرات و تحولات نشان‌دهنده پیچیدگی و پویایی جرم سایبری در دنیای امروز و نیاز به تصمیم‌گیری‌ها و اقدامات امنیتی مداوم برای مقابله با این تهدیدات است.
بدافزار مبتنی بر پایتون با استفاده از Pyinstaller بسته‌بندی شده است، که می‌تواند برای ترکیب کد مخرب و تمام وابستگی‌های آن به یک فایل اجرایی واحد استفاده شود.
بدافزار تمرکز خود را بر روی چندین کار مهم مرتبط با متغیرهای امنیتی در سیستم عامل ویندوز دارد:
1.  غیرفعال کردن Windows Defender: این بدافزار سرقت اطلاعات سعی دارد این نرم‌افزار آنتی‌ویروس را غیرفعال کند.
2.  تنظیم مجدد تنظیمات Windows Defender:  بدافزار تلاش می‌کند تنظیمات ویندوز Defender را به نفع خود تغییر دهد. این ممکن است شامل تغییر تنظیمات اسکن و تنظیمات حفاظت در زمینه‌های مختلف امنیتی باشد. این تغییرات معمولاً برای اجتناب از تشخیص بدافزار توسط نرم‌افزار آنتی‌ویروس ویندوز Defender انجام می‌شود.
3.  پیکربندی پاسخ به تهدیدات خود:  بدافزار سرقت اطلاعات اقدام به تنظیم پاسخ‌های خود به تهدیدات ممکن در سیستم می‌کند. این به این معناست که اگر سیستم یا نرم‌افزارهای امنیتی سعی در تشخیص یا حذف آن کنند، بدافزار ممکن است به صورت خودکار تنظیمات خود را تغییر دهد تا شناسایی نشود و از مراقبت‌های امنیتی فرار کند.
این عملیات‌ قصد دارند تا بدافزار را در سیستم فعال نگه دارند و از شناسایی و حذف آن توسط نرم‌افزارهای امنیتی ویندوز Defender جلوگیری کنند، به این ترتیب از ادامه فعالیت‌های مخرب خود بر روی سیستم قربانی مطمئن شوند.
به نظر می‌رسد که این بدافزار برای دزدی و انتقال اطلاعات طراحی شده است، در حالی که از شناسایی توسط ابزارهای امنیتی و همچنین محدوده‌های تحلیل پویا پنهان می‌شود.

توصیه‌های امنیتی
1. به‌روزرسانی نرم‌افزارها: اطمینان حاصل کنید که سیستم‌عامل، نرم‌افزارها، و برنامه‌های امنیتی شما به‌روزرسانی شده باشند. بسیاری از بدافزارها از ضعف‌ها و آسیب‌پذیری‌های پیشین استفاده می‌کنند.
2. استفاده از آنتی‌ویروس: نصب یک نرم‌افزار آنتی‌ویروس قوی و به‌روز و تنظیم آن برای اسکن و شناسایی بدافزارها می‌تواند به شما کمک کند تا از نفوذ جلوگیری کنید.
3. مراقبت از فایل‌ها و ضمیمه‌ها: هرگز فایل‌ها و ضمیمه‌های ناشناخته و از منابع ناشناخته در ایمیل‌ها یا پیام‌های مستقیم دانلود یا اجرا نکنید.
4. جلوگیری از اجرای کدهای ناشناخته: اجازه ندهید به‌صورت خودکار کدها و اسکریپت‌های ناشناخته اجرا شوند. ممکن است از ویروس‌های معمولاً کد‌های اجراشونده در ایمیل‌ها یا در وبسایت‌ها استفاده کنند.

منبع خبر:

https://thehackernews.com/2023/09/new-hijackloader-modular-malware-loader.html