Các nhà nghiên cứu an ninh mạng đã phát hiện một chiến dịch tinh vi, trong đó các tác nhân đe dọa đã lợi dụng việc tải xuống các trò chơi lậu để phát tán mã độc HijackLoader, một trình tải mã độc mô-đun. Chiến dịch này đã thành công trong việc vượt qua các biện pháp phòng thủ phổ biến như adblocker và Microsoft Defender SmartScreen, đặt ra một mối đe dọa mạng đáng kể.

Chuỗi Lây Nhiễm và Tiếp Cận Ban Đầu

Các trang web như Dodi Repacks, thường được coi là an toàn trên các diễn đàn lậu khi được sử dụng cùng các công cụ như uBlock Origin, lại trở thành những vectơ lây nhiễm chính cho mã độc này. Người dùng cố gắng tải xuống các trò chơi crack bị chuyển hướng qua các tên miền như zovo[.]ink và downf[.]lol.

Sau đó, người dùng sẽ được chuyển hướng đến các kho lưu trữ ZIP được lưu trữ trên MEGA. Các kho lưu trữ này chứa các tệp .7z lồng nhau. Điều đáng chú ý là dù người dùng sử dụng adblocker, chuỗi lây nhiễm vẫn diễn ra suôn sẻ, bác bỏ quan niệm rằng các công cụ này cung cấp khả năng bảo vệ đầy đủ.

Bên trong các kho lưu trữ, các tải trọng độc hại được ngụy trang dưới dạng các tệp có vẻ hợp lệ, chẳng hạn như các tệp DLL quá khổ như DivXDownloadManager.dll. Kích thước lớn của các tệp này thường vượt quá giới hạn tải lên của các sandbox, nhằm mục đích né tránh phân tích tự động.

Kỹ Thuật Né Tránh và Che Giấu của HijackLoader

Phân tích chi tiết chuỗi lây nhiễm của HijackLoader cho thấy mã độc này sử dụng nhiều kỹ thuật tinh vi để duy trì khả năng ẩn mình và vượt qua các giải pháp bảo mật.

Cơ Chế Module Stomping và Giải Mã Cấu Hình

HijackLoader triển khai kỹ thuật module stomping trên các DLL hệ thống quan trọng như shell32.dll. Sau đó, nó giải mã cấu hình từ các tệp ẩn như quintillionth.ppt và paraffin.html. Quá trình giải mã này sử dụng các vòng lặp XOR được tăng tốc bằng SIMD và giải nén LZNT1, cho phép tải các giai đoạn tiếp theo của mã độc một cách bí mật.

Kiểm Tra Môi Trường Thực Thi Nâng Cao

Để đảm bảo chỉ thực thi trên các máy nạn nhân phù hợp, mã độc HijackLoader thực hiện các kiểm tra chống máy ảo (anti-VM). Các kiểm tra này bao gồm việc phát hiện các hypervisor, ngưỡng RAM, và số lượng tiến trình đang chạy trên hệ thống. Điều này giúp mã độc tránh bị phân tích trong môi trường sandbox hoặc môi trường nghiên cứu.

Kiến Trúc Mô-đun “ti” và Evasion EDR

Kiến trúc mô-đun của HijackLoader hỗ trợ tới 40 thành phần khác nhau. Mô-đun “ti” đặc biệt quan trọng, đảm nhiệm việc phân giải API thông qua hàm băm CRC32 và thực hiện stack spoofing thông qua Heaven’s Gate syscalls. Mô-đun này cũng thực hiện việc gỡ bỏ các hook trên ntdll.dll và wow64cpu.dll để né tránh hiệu quả các công cụ phát hiện và phản ứng điểm cuối (EDR), gây khó khăn cho việc phát hiện xâm nhập.

Ngoài ra, mô-đun “ti” vô hiệu hóa tính năng chuyển hướng WOW64, giả mạo các địa chỉ trả về bằng cách sử dụng các export ngẫu nhiên từ các DLL như shdocvw.dll. Nó cũng thực hiện chống gỡ lỗi dựa trên thời gian thông qua các phép toán vi phân RDTSC và CPUID.

Cơ Chế Duy Trì Quyền Truy Cập (Persistence)

Để đảm bảo khả năng duy trì sự hiện diện trên hệ thống bị xâm nhập, HijackLoader sử dụng nhiều cơ chế persistence khác nhau:

• Tạo các tệp LNK trong thư mục khởi động.
• Sử dụng các tác vụ đã lên lịch (scheduled tasks) thông qua mô-đun modTask.
• Thực hiện các truyền tải BITS (Background Intelligent Transfer Service).

Mã độc này cũng có khả năng tự nâng quyền (self-elevation) bằng cách sử dụng mô-đun modUAC, khai thác các lệnh như runas hoặc CMSTPLUA để vượt qua kiểm soát tài khoản người dùng (UAC).

Tiêm Nhiễm và Triển Khai Payload Cuối Cùng

HijackLoader nhắm mục tiêu tiêm nhiễm vào các tệp thực thi hợp pháp như choice.exe hoặc các tệp nhị phân đã được ký như XPFix.exe từ Qihoo 360. Nó sử dụng kỹ thuật process hollowing mà không cần cờ CREATE_SUSPENDED, thay vào đó bằng cách truyền đầu vào (piping input) để tiếp tục các luồng bị tạm dừng.

Để né tránh các sản phẩm chống virus (AV), mã độc này có thể phát hiện sự hiện diện của Avast, AVG và Kaspersky thông qua các hàm băm tiến trình. Nó cũng có khả năng vô hiệu hóa các ngoại lệ của Windows Defender thông qua các lệnh PowerShell được nâng quyền. Cuối cùng, HijackLoader triển khai các payload độc hại khác, ví dụ điển hình là LummaC2 stealer, đây là một dạng tấn công mạng nguy hiểm nhằm đánh cắp thông tin người dùng.

Quá trình tiêm nhiễm cuối cùng bao gồm giải mã các payload bằng khóa XOR, giải quyết các relocation, và thực thi thông qua các mô-đun như rshell hoặc ESAL. Thường xuyên, nó ánh xạ các phần giao dịch (transacted sections) với các tệp PE tinystub, sau đó rollback sau khi tiêm nhiễm để che giấu dấu vết.

Phạm Vi Chiến Dịch và Sự Phát Triển

Chiến dịch phân phối mã độc HijackLoader không chỉ giới hạn ở các trang web trò chơi lậu. Nó đã mở rộng sang các nền tảng khác, bao gồm cả danh sách phát TIDAL liên kết đến các kho lưu trữ độc hại trên up-community[.]net và weeklyuploads[.]click. Điều này làm nổi bật sự lạm dụng rộng rãi các tìm kiếm phần mềm crack trên Google.

Sự phát triển tích cực trong các mô-đun như “ti” và “rshell” nhấn mạnh sự tiến hóa liên tục của mã độc HijackLoader. Trước đây, nó đã được liên kết với nhiều họ mã độc khác, bao gồm Remcos, Vidar và Redline Stealer, cho thấy một mạng lưới đe dọa rộng lớn và liên kết chặt chẽ.

Chỉ Dẫn Thỏa Hiệp (Indicators of Compromise – IOCs)

Để hỗ trợ các nỗ lực phòng thủ và phát hiện xâm nhập, dưới đây là các chỉ dẫn thỏa hiệp liên quan đến chiến dịch phát tán mã độc HijackLoader:

• Tên miền độc hại:
  • zovo[.]ink
  • downf[.]lol
  • up-community[.]net
  • weeklyuploads[.]click
• Tên tệp/cấu hình liên quan:
  • DivXDownloadManager.dll (tệp DLL quá khổ)
  • quintillionth.ppt
  • paraffin.html
• Payload cuối cùng:
  • LummaC2 stealer