开云网址·(中国)官方网站采用模块化设计逃避检测安全公司披露恶意载入器 HijackLoaderIT之家5 月 10 日消息，安全公司 Zscaler近日发布报告，披露了一款采用“模块化设计”的恶意载入器 HijackLoader，这款载入器可以加装各种模块以进行脚本注入、远程命令执行等操作，同时还能够根据用户设备端情况“智能”逃避检测。

　　据悉，相关载入器能够绕过UAC 措施将黑客恶意软件加入到微软 Defender 白名单中，还支持进程空洞（Process Hollowing）、管道触发激活、进程分身等策略，同时还拥有额外的脱钩技术开云网址·(中国)官方网站。

　　IT之家注意到，安全公司披露了一个复杂的HijackLoader样本，该样本以Streaming_client.exe启动，利用“混淆配置”逃避防火墙静态分析开云网址·(中国)官方网站，之后使用WinHTTP API通过访问https [:]//nginx [.] org来测试互联网连接，并通过远程服务器下载第二阶段攻击所需配置。

　　在成功下载第二阶段配置后，相关样本便会搜索PNG标头字节，并使用XOR进行解密，同时使用 RtlDecompressBuffer API进行解压缩。随后加载配置中指定的“合法”Windows DLL，将 shellcode写入其.text部分以供其执行（将恶意代码嵌入到合法进程中）。

　　研究人员同时发现，黑客主要利用 HijackLoader 散布名为 Amadey 的恶意软件，以及勒索软件Lumma，用于随机加密受害者设备上的重要文件，并借机向受害者勒索数字货币。

　　广告声明：文内含有的对外跳转链接（包括不限于超链接、二维码、口令等形式），用于传递更多信息开云网址·(中国)官方网站，节省甄选时间，结果仅供参考，IT之家所有文章均包含本声明。