# TA544 + HijackLoader - Campanha Italiana 2023 > [!high] Narwhal Spider Abandona Ursnif e Adota HijackLoader com Remcos RAT > Em novembro de 2023, o grupo TA544 (rastreado pela Proofpoint como Narwhal Spider) fez uma mudança estratégica significativa: abandonou o Ursnif/Gozi, seu malware bancário histórico, e adotou o HijackLoader (também chamado IDAT Loader) como novo stager modular. O objetivo das campanhas era entregar o [[remcos-rat|Remcos RAT]] e o SystemBC a organizações italianas via e-mail de phishing com links para arquivos ZIP contendo LNKs maliciosos. ## Visão Geral O TA544, também conhecido como Narwhal Spider pela CrowdStrike, é um grupo de ameaça financeiramente motivado com histórico de operar principalmente na Itália. Por anos, o grupo foi associado à distribuição do Ursnif (Gozi), um trojan bancário modular com foco em roubo de credenciais de internet banking. Em 2023, a Proofpoint e o grupo de pesquisa italiano Yoroi documentaram a transição do grupo para o [[hijackloader]], um loader C++ modular identificado pela primeira vez em julho de 2023 pela Zscaler. O HijackLoader, também chamado de IDAT Loader pela Team Cymru, representa uma evolução técnica relevante: seu design modular permite que operadores integrem novos módulos para evasão, injeção e entrega de payloads sem reescrever o core. Uma das técnicas distintivas do loader é o uso de blocos de dados PNG (incluindo o chunk IDAT do formato de imagem) para embutir e descriptografar módulos - daí o nome alternativo "IDAT Loader". Esta técnica de esteganografia funcional dificulta a detecção estática do payload. Nas campanhas de novembro de 2023 documentadas pela Proofpoint, o vetor de infecção era phishing com URLs para arquivos ZIP contendo atalhos LNK que, ao serem executados pela vítima, acionavam o HijackLoader. O loader então realizava injeção de processo (DLL side-loading) para carregar o [[remcos-rat|Remcos RAT]] na memória, estabelecendo acesso remoto persistente ao sistema comprometido. Em algumas variantes, o SystemBC (proxy malware) era entregue como carga adicional para estabelecer canal de comunicação secundário via SOCKS5. A mudança estratégica do Ursnif para o HijackLoader + Remcos RAT é interpretada pela comunidade de pesquisa como adaptação ao declínio dos trojans bancários tradicionais diante de melhorias na autenticação multifator dos bancos italianos e maior detecção do Ursnif por soluções de segurança. ## Como Funciona **Arquitetura do HijackLoader:** - Loader C++ altamente modular com capacidade de carregar módulos adicionais em tempo de execução - Usa estruturas de dados embutidas em arquivos PNG (chunk IDAT) para armazenar módulos cifrados - Suporta injeção de processo via DLL side-loading e process hollowing - Anti-análise: detecta ambientes de sandbox, VMs e debuggers antes de executar payload principal - Módulos conhecidos: module hook evasion, process injection, network commúnication, payload loader **Vetor de entrega TA544:** - E-mail de phishing em italiano com URL para ZIP hospedado em serviço legítimo (Discord CDN, Dropbox) - ZIP contém atalho LNK que executa HijackLoader quando clicado pela vítima - Técnica de mascaramento: ícone do LNK imita documento Word ou PDF - Uso de LOLBins (mshta.exe, regsvr32.exe) para execução inicial **Payload final - Remcos RAT:** - RAT comercial com keylogger, acesso remoto, captura de tela e shell remoto - C2 cifrado com TLS para comunicação com servidor do operador - Persistência via registro do Windows ou tarefa agendada ## Attack Flow ```mermaid graph TB A["📧 E-mail Phishing<br/>Link para ZIP em italiano"] --> B["📦 Arquivo ZIP<br/>LNK mascarado como documento"] B --> C["🖱️ Execução pelo Usuário<br/>Clique no atalho LNK"] C --> D["🔧 LOLBin Execution<br/>mshta.exe ou regsvr32.exe"] D --> E["📷 HijackLoader<br/>Módulos embutidos em PNG IDAT"] E --> F["💉 DLL Side-Loading<br/>Injeção em processo legítimo"] F --> G["🎯 Remcos RAT<br/>Acesso remoto persistente"] G --> H["📡 C2 TLS<br/>Exfiltração e controle"] ``` *Ator: [[ta544]] · Payload secundário: SystemBC proxy* ## Timeline ```mermaid timeline title TA544 e HijackLoader - Linha do Tempo 2014-2020 : TA544 ativo com Ursnif : Foco em bancos italianos : Trojan bancário clássico 2023-07 : HijackLoader identificado : Zscaler documenta loader C++ : IDAT Loader - chunks PNG 2023-11 : Campanha TA544 documentada : Proofpoint e Yoroi publicam análise : Abandono do Ursnif confirmado : HijackLoader entrega Remcos RAT 2024 : Expansão do HijackLoader : Outros grupos adotam o loader : Variantes com novos módulos : Team Cymru rastreia infraestrutura ``` ## TTPs MITRE ATT&CK | Técnica | ID | Descrição | |---------|-----|-----------| | Spearphishing Link | [[t1566-002-spearphishing-link\|T1566.002]] | Link para ZIP em e-mails em italiano | | DLL Side-Loading | [[t1574-002-dll-side-loading\|T1574.002]] | HijackLoader carrega payload via processo legítimo | | Process Injection | [[t1055-process-injection\|T1055]] | Injeção de Remcos RAT em processo legítimo | | Masquerading | [[t1036-masquerading\|T1036]] | LNK com ícone de documento Word ou PDF | | Windows Command Shell | [[t1059-003-windows-command-shell\|T1059.003]] | Execução via mshta.exe e regsvr32.exe | | Exfiltration Over C2 | [[t1041-exfiltration-over-c2-channel\|T1041]] | Remcos RAT exfiltra via canal C2 TLS | ## Relevância para o Brasil e LATAM A campanha TA544 com HijackLoader tem relevância direta para o Brasil e LATAM por razões técnicas e estratégicas: - **HijackLoader como novo padrão**: o loader ganhou adoção rápida entre múltiplos grupos de ameaça em 2024 - suas técnicas de evasão (módulos em PNG, DLL side-loading) são aplicáveis em campanhas globais, não apenas na Itália - **Remcos RAT no Brasil**: o [[remcos-rat|Remcos RAT]] entregue pelo HijackLoader tem histórico de uso em campanhas contra o Brasil - é um RAT comercial disponível como crimeware e frequentemente distribuído por grupos de crime financeiro - **Técnica de entrega via ZIP+LNK**: esta combinação de vetor (e-mail → ZIP → LNK → LOLBin) é amplamente replicada em campanhas de [[financial|crime financeiro]] no Brasil; o mesmo padrão foi documentado em campanhas com banking trojans brasileiros - **Grupos de língua portuguesa**: a migração de trojans bancários para loaders modulares + RATs reflete uma tendência observada também em grupos que atacam bancos brasileiros, que gradualmente abandonam trojans específicos por soluções mais genéricas e evasivas ## Detecção e Defesa **Indicadores comportamentais:** - Arquivo LNK executando `mshta.exe` ou `regsvr32.exe` com URLs ou paths atípicos - Processo Windows legítimo (explorer.exe, svchost.exe) carregando DLL de localização suspeita (`%AppData%`, `%Temp%`) - Acesso de leitura a arquivos PNG por processos que não são visualizadores de imagem - Conexões TLS outbound de processos que normalmente não fazem tráfego de rede **Mitigações recomendadas:** - Desabilitar execução de atalhos LNK via e-mail - configurar Microsoft Defender Attack Surface Reduction rule `Block execution of potentially obfuscated scripts` - Bloquear execução de `mshta.exe` e `regsvr32.exe` para usuários comuns via AppLocker ou WDAC - Monitorar criação de processos filhos por processos legítimos do Windows (Sysmon EventID 1) - [[m1049-antivirus-antimalware|EDR]] com detecção de DLL side-loading e comportamento de injeção de processo - Implementar filtro de e-mail com sandboxing de URLs e anexos ZIP com LNKs ## Referências - [1](https://www.proofpoint.com/us/blog/threat-insight/ta544-targets-italy-hijackloader-and-remcos) Proofpoint - TA544 Targets Italy with HijackLoader and Remcos RAT (2023) - [2](https://yoroi.company/research/hijackloader-analysis/) Yoroi - HijackLoader Technical Analysis (2023) - [3](https://www.zscaler.com/blogs/security-research/hijackloader-technical-analysis) Zscaler ThreatLabz - HijackLoader Technical Analysis (2023) - [4](https://www.team-cymru.com/post/idat-loader) Team Cymru - IDAT Loader Infrastructure (2024) - [5](https://attack.mitre.org/groups/G1029/) MITRE ATT&CK - TA544 / Narwhal Spider Group (2024) - [6](https://www.crowdstrike.com/blog/narwhal-spider-hijackloader/) CrowdStrike - Narwhal Spider Adopts HijackLoader (2024)