hijackloader - RunkIntel

# HijackLoader ## Visão Geral **HijackLoader** (também conhecido como **IDAT Loader** ou **DOILoader**) é um loader modular de alta sofisticação descoberto em julho de 2023. Desenvolvido para distribuição de payloads de segunda fase, destaca-se pelo uso de esteganografia em imagens PNG (chunks IDAT), técnicas de _Heaven's Gaté_ para transição entre modos 32/64-bit, e _call stack spoofing_ para evasão de EDRs. É utilizado principalmente pelo grupo [[ta544]] e por afiliados de ransomware para distribuir famílias como [[s1213-lumma-stealer]], [[danabot]] e [[s0533-systembc]]. O loader é comercializado como MaaS (Malware-as-a-Service) em fóruns underground, tornando-se amplamente adotado por múltiplos agentes de ameaça ao longo de 2023-2024. A variante IDAT Loader é nomeada pelo uso dos chunks IDAT de imagens PNG para ocultar o payload - uma técnica de esteganografia raramente vista em loaders modernos. ## Características Técnicas ### Mecanismo de Carregamento Modular HijackLoader implementa uma arquitetura modular onde cada módulo executa uma função específica de evasão ou carregamento. O fluxo de execução inicia com uma iteração de loop artificial para criar atraso de tempo (_sleep loop_), seguido de leitura de imagem PNG com payload embutido nos chunks IDAT. A técnica de **esteganografia IDAT** é a marca registrada do loader: o código malicioso é embutido nos chunks de dados de imagens PNG legítimas. O binário lê os bytes do chunk IDAT, desofusca o conteúdo e injeta o payload na memória de um processo legítimo via DLL sideloading. ### Técnicas de Evasão - **Heaven's Gaté**: transição entre modo 32-bit e 64-bit para contornar hooks de EDR instalados em processos 32-bit - **Call stack spoofing**: manipula a pilha de chamadas para ocultar a origem real das chamadas de API do Windows, dificultando análise heurística - **DLL sideloading** ([[t1574-002-dll-side-loading|T1574.002]]): carrega DLLs maliciosas em aplicações legítimas (ex: aplicativos VPN, software de segurança) - **Process Hollowing** ([[t1055-process-injection|T1055]]): injeta código em processos legítimos como `explorer.exe` - **Anti-análise**: detecta ambientes de sandbox via timing attacks e verificações de artefatos de virtualização ### Payloads Distribuídos | Payload | Categoria | Impacto | |---------|-----------|---------| | [[s1213-lumma-stealer]] | Infostealer | Roubo de credenciais e carteiras crypto | | [[danabot]] | Banker/RAT | Fraude bancária, acesso remoto | | [[s0533-systembc]] | Proxy/C2 | Proxy SOCKS5, tunelamento C2 | | [[s1240-redline-stealer]] | Infostealer | Credenciais de browser e carteiras | | [[s0154-cobalt-strike]] | Framework C2 | Pós-exploração e movimentação lateral | ## Diagrama de Execução ```mermaid graph TB A["Phishing / Malvertising"] --> B["Documento Malicioso ou Instalador Falso"] B --> C["Imagem PNG com Payload em Chunk IDAT"] C --> D["Desofuscacao e Extração do Payload"] D --> E["Heaven's Gaté 32-bit para 64-bit"] E --> F["DLL Sideloading em Processo Legitimo"] F --> G["Process Injection Payload Final"] G --> H1["LummaC2 / RedLine Infostealer"] G --> H2["DanaBot Banker/RAT"] G --> H3["SystemBC Proxy/C2"] ``` ## Diagrama de Evasão ```mermaid graph TB A["Processo-Alvo explorer.exe"] --> B["Verificação de Ambiente Anti-sandbox / Anti-debug"] B -->|"Ambiente Real"| C["Sleep Loop Artificial Atraso de Execução"] B -->|"Sandbox Detectada"| X["Abort Execução Interrompida"] C --> D["Heaven's Gaté Transicao 32-64-bit"] D --> E["Call Stack Spoofing Mascaramento de APIs"] E --> F["Shellcode Injection Payload Decriptado"] F --> G["Comúnicação C2 HTTPS Criptografado"] ``` ## Campanhas Associadas ### TA544 - Europa (2023-2024) O grupo [[ta544]] utilizou HijackLoader extensivamente em campanhas de spam direcionadas a usuários italianos, com emails simulando faturas e notificações legais em italiano. Em 2024, o grupo [[void-banshee]] foi identificado usando o loader para distribuir [[s1240-redline-stealer]] via sites de software falso que exploravam a vulnerabilidade MHTML ([[cve-2024-38112|CVE-2024-38112]]) no Windows. ## Relevância para LATAM e Brasil > [!latam] Relevância para o Brasil > A natureza **MaaS** do HijackLoader expande o alcance globalmente, incluindo o Brasil. Campanhas de **malvertising** distribuindo HijackLoader como stager para **LummaC2** afetam usuários brasileiros que baixam software de fontes não confiáveis. O payload **DanaBot** tem histórico de atividade no setor **financeiro** brasileiro, roubando credenciais de internet banking. Grupos de ameaça focados em LATAM podem adquirir e operar o loader em fóruns underground, usando-o para distribuir infostealers adaptados ao contexto brasileiro. Embora o foco inicial sejá Europa, a natureza MaaS do HijackLoader expande o alcance globalmente: - **Vetores de risco**: Campanhas de malvertising distribuindo HijackLoader como stager para [[s1213-lumma-stealer]] afetam usuários brasileiros que baixam software de fontes não confiáveis - **Setor financeiro**: O payload [[danabot]] tem histórico de atividade no setor [[financial|financeiro]] brasileiro, roubando credenciais de internet banking - **Distribuição via afiliados**: Grupos de ameaça focados em LATAM podem adquirir e operar o loader em fóruns underground ## Detecção e Mitigação ### Indicadores de Comprometimento **Comportamentais:** - Processo legítimo carregando DLL de diretório temporário (`%TEMP%`, `%APPDATA%`) - Transição incomum 32-bit para 64-bit em processo de usuário - Leitura de arquivos PNG seguida de alocação de memória executável (`MEM_COMMIT | PAGE_EXECUTE_READWRITE`) - Criação de processos filhos a partir de processos não-interativos **YARA (assinatura comportamental):** - Presença de chunks IDAT com entropia > 7.5 em imagens PNG - Sequência: `VirtualAlloc` + `WriteProcessMemory` + `CreateRemoteThread` - Imports mínimos no PE com resolução dinâmica de API via hash ### Mitigações Recomendadas Implementar [[m1049-antivirus|M1049]] com detecção comportamental habilitada e regras específicas para injeção de processo. Aplicar [[m1038-execution-prevention|M1038]] para bloquear execução de binários em diretórios `%TEMP%` e `%APPDATA%`. Monitorar via [[ds0009-process-creation|DS0009]] para injeções suspeitas e via [[ds0011-module-load|DS0011]] para carregamento anômalo de DLLs. ## Referências - [1](https://www.zscaler.com/blogs/security-research/hijackloader-evolves-adding-new-anti-analysis-techniques) Zscaler ThreatLabz - HijackLoader Evolves: Adding New Anti-Analysis Techniques (2023) - [2](https://blog.talosintelligence.com/hijackloader-tactics/) Cisco Talos - HijackLoader Tactics and Techniques (2023) - [3](https://www.crowdstrike.com/blog/void-banshee-exploits-mshtml-vulnerability/) CrowdStrike - Void Banshee Uses HijackLoader to Deploy RedLine Stealer (2024) - [4](https://malpedia.caad.fkie.fraunhofer.de/details/win.hijackloader) Malpedia - HijackLoader Entry (2024) - [5](https://www.bleepingcomputer.com/news/security/hijackloader-malware-uses-call-stack-spoofing-to-evade-detection/) BleepingComputer - HijackLoader Uses Call Stack Spoofing to Evade Detection (2024)