HijackLoader – visszaélés aláírási tanúsítványokkal

Editors' Pick

Kiberbiztonsági kutatók egy új rosszindulatú kampányt azonosítottak, amely legitim kódaláíró tanúsítványokkal aláírt Hijack Loader-t szállít. A HarfangLab francia kiberbiztonsági vállalat, amely a hónap elején észlelte a tevékenységet, elmondta, hogy a támadási láncok célja egy Lumma nevű információlopó telepítése.

A DOILoader, IDAT Loader és SHADOWLADDER néven is ismert Hijack Loader először 2023 szeptemberében látott napvilágot. A malware loaderrel kapcsolatos támadási láncok jellemzően kalózszoftverek vagy filmek álcája alatt egy bináris állomány letöltésére csábítják a felhasználókat.

Ezeknek a kampányoknak a legújabb változatai a felhasználókat hamis CAPTCHA oldalakra irányítják, amelyek arra ösztönzik a webhely látogatóit, hogy bizonyítsák emberi mivoltukat egy kódolt PowerShell parancs másolásával és futtatásával, amely egy ZIP-archívum formájában letölti a rosszindulatú hasznos terhet.

A HarfangLab szerint a PowerShell szkript három különböző változatát figyelte meg 2024. szeptember közepétől –

  • Egy PowerShell szkript, amely az mshta.exe-t kihasználva egy távoli kiszolgálón tárolt kódot hajt végre.
  • Egy távolról hosztolt PowerShell szkript, amelyet közvetlenül az Invoke-Expression cmdlet (más néven iex) segítségével hajtanak végre.
  • PowerShell szkript, amely az msiexec.exe-t használja egy hasznos teher letöltésére és végrehajtására egy távoli URL-címről.

Forrás