コード品質が悪い新マルウェアローダ「HijackLoader」発見

Zscalerはこのほど、「HijackLoader|Zscaler ThreatLabz」において、「HijackLoader」と呼ばれる新しいマルウェアローダを分析した検証結果を公表した。HijackLoaderはここ数カ月で人気が高まっており、複数のマルウェアに採用されていることが確認されている。

Zscalerの調査チームであるThreatLabzは、2023年7月(米国時間)にHijackLoaderを初めて確認したという。Zscalerの遠隔監視から、このローダはDanabot、SystemBC、RedLine Stealerと呼ばれるマルウェアファミリーの展開に利用されているとみられている。

ZscalerによるHijackLoaderの分析結果の要点は次のとおり。

  • 最終ペイロードをバイナリに含めるか、または外部サーバからダウンロードするか選択可能
  • 正規のWebサイトへのHTTP接続を行い、接続が確立できるまで処理を遅延させる
  • アンチウイルスソフトウェアなどを検出し、それに応じた遅延処理や永続化を行う
  • モジュール式アーキテクチャを備え、柔軟なコードの挿入と実行を可能にするモジュールを使用する。これは従来のローダにはない機能
  • Heaven’s gateとよばれる手法を使い、アンチウイルスソフトウェアなどのAPIフックによる解析を回避して直接システムコールを行う
  • 最終ペイロードの種類に応じて検出を回避する実行環境を構築して実行する

国内最大級の品揃え【DMMブックス】ロリポップ!
どんなソフトを使ったら良いか分からないアナタに!ソフトナビ

HijackLoaderは上記のようにさまざまな検出回避技術を使って検出を回避し、悪意のあるペイロードに対してさまざまな読み込み、実行手段を提供する。ZscalerはHijackLoaderについて、コードの品質はよくないとして高く評価はしていない。しかしながら、人気の高まりから今後コードが改善され、より多くの攻撃者に使用される可能性があるとしている。

情報元
https://news.mynavi.jp/techplus/article/20230919-2770334/