Zscalerはこのほど、「HijackLoader|Zscaler ThreatLabz」において、「HijackLoader」と呼ばれる新しいマルウェアローダを分析した検証結果を公表した。HijackLoaderはここ数カ月で人気が高まっており、複数のマルウェアに採用されていることが確認されている。
-
HijackLoader|Zscaler ThreatLabz
Zscalerの調査チームであるThreatLabzは、2023年7月(米国時間)にHijackLoaderを初めて確認したという。Zscalerの遠隔監視から、このローダはDanabot、SystemBC、RedLine Stealerと呼ばれるマルウェアファミリーの展開に利用されているとみられている。
ZscalerによるHijackLoaderの分析結果の要点は次のとおり。
- 最終ペイロードをバイナリに含めるか、または外部サーバからダウンロードするか選択可能
- 正規のWebサイトへのHTTP接続を行い、接続が確立できるまで処理を遅延させる
- アンチウイルスソフトウェアなどを検出し、それに応じた遅延処理や永続化を行う
- モジュール式アーキテクチャを備え、柔軟なコードの挿入と実行を可能にするモジュールを使用する。これは従来のローダにはない機能
- Heaven's gateとよばれる手法を使い、アンチウイルスソフトウェアなどのAPIフックによる解析を回避して直接システムコールを行う
- 最終ペイロードの種類に応じて検出を回避する実行環境を構築して実行する
HijackLoaderは上記のようにさまざまな検出回避技術を使って検出を回避し、悪意のあるペイロードに対してさまざまな読み込み、実行手段を提供する。ZscalerはHijackLoaderについて、コードの品質はよくないとして高く評価はしていない。しかしながら、人気の高まりから今後コードが改善され、より多くの攻撃者に使用される可能性があるとしている。
