商盛軟件園 5 月 10 日消息，安全公司 Zscaler近日發布報告，披露了一款采用“模塊化設計”的惡意載入器 HijackLoader，這款載入器可以加裝各種模塊以進行腳本注入、遠程命令執行等操作，同時還能夠根據用戶設備端情況“智能”逃避檢測。

據悉，相關載入器能夠繞過UAC 措施將黑客惡意軟件加入到微軟 Defender 白名單中，還支持進程空洞（Process Hollowing）、管道觸發激活、進程分身等策略，同時還擁有額外的脫鉤技術。

商盛軟件園注意到，安全公司披露了一個復雜的HijackLoader樣本，該樣本以Streaming_client.exe啟動，利用“混淆配置”逃避防火墻靜態分析，之后使用WinHTTP API通過訪問https [:]//nginx [.] org來測試互聯網連接，并通過遠程服務器下載第二階段攻擊所需配置。

在成功下載第二階段配置后，相關樣本便會搜索PNG標頭字節，并使用XOR進行解密，同時使用 RtlDecompressBuffer API進行解壓縮。隨后加載配置中指定的“合法”Windows DLL，將 shellcode寫入其.text部分以供其執行（將惡意代碼嵌入到合法進程中）。

此后，該惡意軟件利用被稱為“Heaven"s Gate”的掛鉤方案將額外的shellcode注入cmd.exe，之后 使用進程空洞將最終有效負載（例如 Cobalt Strike信標）注入到logagent.exe中。

研究人員同時發現，黑客主要利用 HijackLoader 散布名為 Amadey 的惡意軟件，以及勒索軟件Lumma，用于隨機加密受害者設備上的重要文件，并借機向受害者勒索數字貨幣。