Selamlar! Bugün bahsedeceğimiz konu kötü amaçlı yazılım yükleyicilerinin yeni bir sürümü olan Hijack Loader. Bu yeni sürüm, anti-analiz tekniklerini uçak radarının altından geçmek için güncellemiş durumda. Bu geliştirmelerle kötü amaçlı yazılımın tespit edilmeden kalması ve gizliliğinin artması amaçlanıyor.
Hijack Loader, özellikle Eylül 2023’te belgelenen bir kötü amaçlı yazılım yükleyicisidir ve Aralık aylarında farklı kötü amaçlı yazılımları dağıtmak için kullanılmıştır. Amadey, Lumma Stealer, Meta Stealer, Racoon Stealer V2 gibi zararlı yazılımların yanı sıra Remcos RAT ve Rhadamanthys gibi zararlı yazılımları dağıtmak için kullanılmıştır.
En son sürümü farklı kılan şey ise bir PNG görüntüsünün şifresini çözüp ayrıştırarak sonraki aşamadaki yükü yüklemesidir. Bu teknik, özellikle Finlandiya merkezli Ukraynalı varlıkları hedef alan bir kampanyayla ilişkilendirilmiştir.
Hijack Loader, kötü amaçlı yazılımın yapılandırmasına bağlı olarak gömülü veya ayrı olarak indirilen bir PNG görüntüsünden ikinci aşamanın çıkarılmasından ve başlatılmasından sorumludur. İkinci aşamanın amacı ise ana enstrümantasyon modülünü enjekte etmektir. Buna ek olarak, yeni süreçler oluşturmaya, UAC bypass’ı gerçekleştirmeye ve Windows Defender Antivirus dışlaması eklemeye yardımcı olan yeni modüller içermektedir.
Son olarak, kötü amaçlı yazılım yükleyicilerinin farklı ailelerini dağıtan kötü amaçlı yazılım kampanyalarının ortasında bu gelişme ortaya çıkmaktadır. Aynı zamanda TesseractStealer gibi bilgi hırsızları da görüldü. TesseractStealer, görüntü dosyalarından metin çıkarmak için Tesseract adlı açık kaynaklı bir motoru kullanmaktadır.
Kötü amaçlı yazılımların hedefi genellikle kimlik bilgileri ve kripto para birimi cüzdan bilgileridir. Son ViperSoftX çalışmalarında ayrıca Quasar RAT kötü amaçlı yazılım ailesinden başka bir yük de tespit edilmiştir. Bu gelişmeler, siber güvenlik alanında dikkatli olmanın ve kötü niyetli yazılımlardan korunmanın ne kadar önemli olduğunu gösteriyor. Güvende kalın!