NUEVO CARGADOR MODULAR DENOMINADO HIJACKLOADER CON CAPACIDADES PARA DISTRIBUIR MALWARE

11/01/2024

Descripción

Hijackloader cuenta con arquitectura modular que permite la inyección y ejecución de código con el objetivo de poder evadir la detección y monitoreo incluyendo el uso de llamadas al sistema y la supervisión de los procesos, además prueba conexiones HTTP a sitios web legítimos retrasando su ejecución de código.

Mantiene la persistencia creando un archivo de acceso directo (LNK) en la carpeta de inicio de Windows generando así un servicio de transferencia en segundo plano (BITS) que apunta al cargador para la ejecución y propagación de diferentes familias de malware como Danabot, SystemBC y RedLine Stealer.

Vector de infección

Se desconoce el vector de infección asociado a Hijackloader, los analistas del Csirt Financiero infieren que los actores de esta amenaza suelen realizar su distribución a través de campañas de tipo phishing en las cuales remiten correos electrónicos con archivos adjuntos comprimidos (ZIP, RAR, 7ZIP), documentos de Office y/o ejecutables que tiene la tarea de realizar las comprobaciones iniciales antes de realizar la ejecución del malware.

Recomendaciones

• Mantener los sistemas operativos, aplicaciones y software de seguridad siempre actualizados. Esto incluye navegadores web, programas de correo electrónico y software de seguridad.
• Instalar y utilizar software antivirus/antimalware confiable y mantener su base de datos de definiciones de virus actualizada regularmente.
• Implementar soluciones de seguridad que permitan mitigar acciones maliciosas hacia los puntos finales de su infraestructura como SOAR, XDR, DLP, NGFW, EDR, entre otros.
• Establecer controles estrictos en los filtros de correos electrónicos y web, contra formatos de archivo y contenedores maliciosos (macros, scripts, etc).

Leer noticia: https://thehackernews.com/2023/09/new-hijackloader-modular-malware-loader.html