HijackLoader: Cos’è e perché è pericoloso

HijackLoader è un sofisticato malware loader modulare emerso nel 2023 e rapidamente diventato uno strumento preferito dagli hacker per distribuire altri malware come Danabot, SystemBC e RedLine Stealer. È progettato per iniettare codice dannoso, evitare il rilevamento da parte dei software di sicurezza e garantire la persistenza nei sistemi infetti.

🔍 Caratteristiche principali

• Architettura modulare: consente di caricare diversi moduli per eseguire funzioni specifiche come iniezione di codice, evasione, e persistenza.
• Tecniche di evasione avanzate:
  • Spoofing dello stack: nasconde l’origine delle chiamate di sistema.
  • Heaven’s Gate: bypassa gli hook in modalità utente su sistemi a 64 bit.
  • Anti-VM e sandbox: rileva ambienti virtualizzati e termina l’esecuzione per evitare analisi.
• Persistenza: crea attività pianificate per rieseguire il malware a intervalli regolari.
• Iniezione in processi legittimi: maschera il codice malevolo all’interno di eseguibili apparentemente innocui.

🧪 Tecniche di attacco osservate

• Process Hollowing & Doppelgänging: iniezione del payload in processi legittimi come cmd.exe e logagent.exe.
• Utilizzo di immagini PNG: nasconde payload cifrati all’interno di file grafici per eludere i controlli.
• Configurazioni dinamiche: scarica e decifra configurazioni da server remoti per adattarsi all’ambiente bersaglio.

🎮 Caso reale: Malware nascosto in un gioco su Steam

Nel luglio 2025, HijackLoader è stato scoperto all’interno del gioco Chemia su Steam Early Access, insieme ad altri malware come Fickle Stealer e Vidar Stealer. Lo sviluppatore era una falsa identità e il gioco è stato rimosso solo due giorni dopo la scoperta.

🛡️ Come proteggersi

• Evita di scaricare software da fonti non verificate.
• Usa antivirus aggiornati con protezione comportamentale.
• Monitora attività pianificate e processi sospetti.
• Mantieni sistemi e applicazioni sempre aggiornati.

Se vuoi, posso aiutarti a verificare indicatori di compromissione (IOC) o suggerire strumenti per analizzare un sistema sospetto.

💡 HijackLoader è noto per impiegare tecniche di evasione avanzate e sofisticate per sfuggire ai controlli di sicurezza. Ecco le più comuni e insidiose:

🕵️‍♂️ Tecniche di evasione di HijackLoader

1. Spoofing dello stack

• Manipola lo stack delle chiamate per nascondere l’origine delle API invocate.
• Inganna gli strumenti di analisi comportamentale che tracciano il flusso delle chiamate.

2. Heaven’s Gate

• Tecnica che consente a un processo a 32 bit di accedere direttamente alle API a 64 bit.
• Serve a bypassare gli hook iniettati dai software antivirus in modalità utente.

3. Anti-VM e Anti-Sandbox

• Rileva ambienti virtualizzati o sandbox usati per analisi malware.
• Se rileva una VM, termina l’esecuzione o si comporta in modo benigno per evitare la scoperta.

4. Iniezione in processi legittimi

• Usa tecniche come Process Hollowing o Process Doppelgänging:

• Sostituisce il contenuto di un processo legittimo con codice malevolo.
• Esegue il malware sotto l’identità di un processo fidato (es. cmd.exe, logagent.exe).

5. Offuscamento del payload

• I payload sono spesso criptati o compressi.
• Alcuni sono nascosti in file PNG o altri formati apparentemente innocui.

6. Esecuzione ritardata

• Introduce ritardi temporali o attende input specifici per evitare rilevamenti basati su tempo di esecuzione.

7. Uso di API native e dirette

• Evita le API di alto livello (WinAPI) e usa NTAPI o chiamate dirette al kernel.
• Riduce la probabilità di essere intercettato da antivirus.

🔐 Esempio pratico

Un modulo di HijackLoader può:

• Scaricare un payload cifrato da un server remoto.
• Decrittarlo in memoria.
• Iniettarlo in explorer.exe usando Process Hollowing.
• Avviare una backdoor senza mai scrivere nulla su disco.

@Riproduzione riservata.

＼ Get the latest news ／