Cyberthreat.id - Pemuat malware baru bernama HijackLoader mendapatkan daya tarik di kalangan komunitas penjahat dunia maya dengan mengirimkan berbagai muatan seperti DanaBot, SystemBC, dan RedLine Stealer.

“Meskipun HijackLoader tidak berisi fitur-fitur canggih, ia mampu menggunakan berbagai modul untuk injeksi dan eksekusi kode karena menggunakan arsitektur modular, sebuah fitur yang tidak dimiliki sebagian besar loader,” kata peneliti Zscaler ThreatLabz, Nikolaos Pantazopoulos, kepada The Hacker News.

Pertama kali diamati oleh perusahaan pada Juli 2023, malware ini menggunakan sejumlah teknik agar tidak terdeteksi radar.

Hal ini melibatkan penggunaan syscall untuk menghindari pemantauan dari solusi keamanan, pemantauan proses yang terkait dengan perangkat lunak keamanan berdasarkan daftar blokir yang tertanam, dan menunda eksekusi kode sebanyak 40 detik pada tahapan yang berbeda.

Vektor akses awal yang tepat yang digunakan untuk menyusup ke target saat ini tidak diketahui.

Meskipun terdapat aspek anti-analisis, loader dikemas dalam modul instrumentasi utama yang memfasilitasi injeksi dan eksekusi kode fleksibel menggunakan modul tertanam.

Kegigihan pada host yang disusupi dicapai dengan membuat file pintasan (LNK) di folder Startup Windows dan mengarahkannya ke pekerjaan Background Intelligent Transfer Service (BITS).

“HijackLoader adalah pemuat modular dengan teknik penghindaran, yang menyediakan berbagai opsi pemuatan untuk muatan berbahaya,” kata Pantazopoulos.

"Selain itu, ia tidak memiliki fitur-fitur canggih dan kualitas kodenya buruk."

Pengungkapan ini terjadi ketika Flashpoint mengungkapkan rincian versi terbaru dari malware pencuri informasi yang dikenal sebagai RisePro yang sebelumnya didistribusikan melalui layanan pengunduh malware bayar-per-instal (PPI) yang dijuluki PrivateLoader.

"Penjual mengklaim dalam iklannya bahwa mereka telah mengambil aspek terbaik dari 'RedLine' dan 'Vidar' untuk menjadi pencuri yang hebat," kata Flashpoint.

“Dan kali ini, penjual juga menjanjikan keuntungan baru bagi pengguna RisePro: pelanggan menghosting panel mereka sendiri untuk memastikan log tidak dicuri oleh penjual.”

RisePro, ditulis dalam C++, dirancang untuk mengumpulkan informasi sensitif pada mesin yang terinfeksi dan mengekstraknya ke server perintah dan kontrol (C&C) dalam bentuk log. Ini pertama kali ditawarkan untuk dijual pada Desember 2022.

Hal ini juga menyusul penemuan pencuri informasi baru yang ditulis di Node.js yang dikemas ke dalam file yang dapat dieksekusi dan didistribusikan melalui iklan Facebook bertema Large Language Model (LLM) yang berbahaya dan situs web palsu yang meniru editor video CapCut ByteDance.

“Ketika pencuri tersebut dieksekusi, ia menjalankan fungsi utamanya yaitu mencuri cookie dan kredensial dari beberapa browser web berbasis Chromium, kemudian mengekstraksi data tersebut ke server C&C dan ke bot Telegram,” kata peneliti keamanan Jaromir Horejsi kepada The Hacker News.

"Itu juga membuat klien berlangganan ke server C&C yang menjalankan GraphQL. Ketika server C&C mengirim pesan ke klien, fungsi pencurian akan berjalan lagi." Browser yang ditargetkan termasuk Google Chrome, Microsoft Edge, Opera (dan OperaGX), dan Brave.

Ini adalah kedua kalinya situs web CapCut palsu terlihat mengirimkan malware pencuri. Pada bulan Mei 2023, Cyble menemukan dua rantai serangan berbeda yang memanfaatkan perangkat lunak sebagai daya tarik untuk mengelabui pengguna yang tidak menaruh curiga agar menjalankan Offx Stealer dan RedLine Stealer.

Perkembangan ini memberikan gambaran ekosistem kejahatan dunia maya yang terus berkembang, dengan infeksi pencuri bertindak sebagai vektor serangan awal utama yang digunakan oleh pelaku ancaman untuk menyusup ke organisasi dan melakukan tindakan pasca-eksploitasi.

Karena itu, tidak mengherankan jika pelaku ancaman ikut-ikutan menelurkan jenis malware pencuri baru seperti Prysmax yang menggabungkan fungsionalitas Swiss Army yang memungkinkan pelanggan mereka memaksimalkan jangkauan dan dampaknya.

“Malware berbasis Python ini dikemas menggunakan Pyinstaller, yang dapat digunakan untuk menggabungkan kode berbahaya dan semua dependensinya ke dalam satu executable,” kata Cyfirma. “

Malware yang mencuri informasi difokuskan pada menonaktifkan Windows Defender, memanipulasi pengaturannya, dan mengonfigurasi responsnya sendiri terhadap ancaman.”

“Malware ini juga berupaya mengurangi keterlacakannya dan mempertahankan pijakan pada sistem yang disusupi. Malware ini tampaknya dirancang dengan baik untuk pencurian dan eksfiltrasi data, sambil menghindari deteksi oleh alat keamanan serta kotak pasir analisis dinamis.”[]