Los investigadores de CrowdStrike han identificado una muestra de HijackLoader (también conocido como IDAT Loader) que emplea técnicas de evasión sofisticadas para aumentar la complejidad de la amenaza. HijackLoader, una herramienta cada vez más popular entre los adversarios para desplegar cargas útiles adicionales y herramientas, continúa evolucionando a medida que sus desarrolladores experimentan y mejoran sus capacidades.
En su análisis de una muestra reciente de HijackLoader, los investigadores de CrowdStrike descubrieron nuevas técnicas diseñadas para aumentar las capacidades de evasión de defensas del cargador. El desarrollador del malware utilizó una técnica estándar de vaciado de procesos junto con un disparador adicional que se activó cuando el proceso padre escribió en una tubería. Este nuevo enfoque tiene el potencial de hacer que la evasión de defensas sea más sigilosa.
La segunda variación de la técnica implicó una combinación poco común de técnicas de duplicación de procesos y vaciado de procesos. Esta variación aumenta la complejidad del análisis y las capacidades de evasión de defensas de HijackLoader. Los investigadores también observaron técnicas adicionales de desenganche utilizadas para ocultar la actividad maliciosa.
Seguir leyendo [EN]: HijackLoader Expands Techniques to Improve Defense Evasion