Os pesquisadores de segurança cibernética descobriram uma campanha sofisticada, onde os atores de ameaças aproveitam downloads de jogos pirateados para distribuir Hijackloaderum carregador de malware modular, ignorando efetivamente as defesas comuns, como Adblockers e Microsoft Defender SmartScreen.
Sites como a Dodi reembalam, geralmente considerados “seguros” em fóruns de pirataria quando usados com ferramentas como o Ublock Origin, servem como vetores para esse malware.
Os usuários que tentam baixar jogos rachados são redirecionados através de domínios como o ZoVo[.]tinta e downf[.]LOL para arquivos zip mega-hospedados contendo arquivos .7Z aninhados.
Esses arquivos disfarçam cargas úteis maliciosas em arquivos aparentemente legítimos, como DLLs de grandes dimensões como DivXDownloadManager.dll, que excedem os limites de upload da caixa de areia para evitar a análise automatizada.
Distribuição de malware através de redes de pirataria
Apesar dos adblockers, a cadeia de infecções prossegue, desmoronando as alegações de que essas ferramentas fornecem proteção adequada.
Análise revela Que o malware emprega módulo pisando nas DLLs do sistema como Shell32.dll, descriptografando configurações de arquivos como quintillionth.ppt e paraffin.html usando loops xor acelerados SIMD e descompressão LZNT1.
Essa configuração carrega estágios subsequentes, incluindo verificações anti-VM para hipervisores, limiares de RAM e contagem de processos, garantindo a execução apenas em máquinas de vítimas adequadas.
A arquitetura modular do HijackLoader suporta até 40 componentes, com a resolução da API de manuseio de módulos “Ti” via Hashes Crc32, empilhando falsificando através do Syscalls do Heaven’s Gate e solucionando ntdll.dll e wow64cpu.dll para evitar as ferramentas EDR.
Ele desativa o redirecionamento WoW64, os paródios de retorno de retorno usando exportações aleatórias de DLLs como shdocvw.dll e realiza anti-desbotamento baseado no tempo via RDTSC e CPUID diferenciais.
Implantação da carga útil
A persistência é alcançada por meio de arquivos LNK em pastas de inicialização, tarefas programadas via Modtask ou transferências de bits, com auto-elevação usando o Moduac explorando Runas ou CMSTPLUA.
Alvos de injeção Os executáveis legítimos como Choice.exe ou binários assinados como XPFIX.exe do Qihoo 360, empregando processos oco sem sinalizadores create_spended, tubando a entrada para retomar os threads.
Para a evasão AV, detecta produtos como AVAST, AVG e Kaspersky por meio de hashes de processo, desativa as exclusões do Windows Defender por meio de comandos elevados do PowerShell e implanta cargas úteis como LUMMAC2 ladrão.
A injeção final envolve descriptografar cargas úteis com teclas XOR, resolvendo realocações e executando através de módulos como RSHELL ou ESAL, frequentemente mapeando seções transadas com arquivos Tinystub PE revertidos após a injeção pós-injeção.
Esta campanha se estende além de sites de jogos, plataformas infiltrantes, como listas de reprodução de marés que ligam a arquivos maliciosos na comunidade[.]NET e semanal[.]Clique, destacando o abuso generalizado de pesquisas de software rachadas no Google.
Desenvolvimento ativo em módulos como Ti e Rshell sublinham a evolução do seqüestro, anteriormente vinculados a famílias como REMCOS, VIDAR e REDLINE ladrão.
Indicadores de compromisso (IOCs)
| Categoria | Descrição | Detalhes |
|---|---|---|
| Domínios | Sites de redirecionamento de alto risco | DirectSnap.Click, Readyf1.lol, WeeklyUploads.Click |
| Nomes de arquivos | Arquivos maliciosos e cargas úteis | DivxdownloadManager.dll (dll/hijackedExecution.A, SHA256: 5649F7535E388572096DDDCF3C50A66C51D189F31DC7769470E9A78C5B2EC34C); quintillionth.ppt (genérico trojan.xae, sha256: 8ef22b49af1d7e67657bcfac9d02dd1bfcc1d3ae20d1bbcb1a60c99d023d18d5); paraffin.html (Trojan/hijackloader.rw, sha256: 0d24d4e72b7b22017c6fde7b1a2dc1a1e1ad63b97b5811dc02c221aa68d9d00c); LUMMAC2 PAYLOG (ACL/malware genérico.brhj, sha256: e575a3a2fbf1916d3afb0a1abfd8479c02b5b677550883f9a5d0e22ee7380303 BlackThorn.vhd (Trojan/HijackLoader.rw, SHA256: 04677C4C70D9F61F011B0AC744F2DC5353AC0D1B4AAA5D9EC37A291968D2A0B79); MSIL TROJAN (T-TRO-ZZA, SHA256: EECDEA0F63F4E54D8EFB542700F37DA98865C0735D66D8ECF7E5E81AA64CFF20) |
AWS Security Services:10-Point Executive Checklist -Download for Free