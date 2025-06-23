Claimloader é uma família de carregadores que evoluíram significativamente nos últimos anos. Eles contêm uma carga de shellcode criptografada, que é descriptografada e injetada no tempo de execução. Nosso blog anterior fornece mais detalhes técnicos sobre variantes anteriores usadas pelo Hive0154.

Na primeira execução, o Claimloader começa criando um novo objeto mutex para garantir que apenas uma única instância de Claimloader esteja em execução. Em seguida, ele migrar a si mesmo e o EXE de seus processos usado para o sideloading da DLL para um novo diretório com um novo nome, como:

C:\ProgramData\AdobeLicensingPlugin\WF_Adobe_licensing_helper.exe

C:\ProgramData\AdobeLicensingPlugin\libjyy.dll

Em seguida, o Claimloader utiliza a API SHSetValueA() para estabelecer persistência para o EXE por meio de uma chave de registro abaixo:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Isso fará com que o EXE seja executado toda vez que o usuário atual fizer login na máquina. O processo é executado com um argumento predefinido, como "Licensing", que é usado para invocar a funcionalidade principal do Claimloader.

Na segunda execução do Claimloader com o argumento especificado, a variante mais recente do Claimloader começa a descriptografar uma carga incorporada por meio do algoritmo TripleDES. Esse algoritmo só foi observado nas variantes do Claimloader a partir do final de abril de 2025. As variantes atualizadas também utilizam nomes de API criptografados por XOR e APIs nativas LdrLoadDll() e LdrGetProcedureAddress() para resolver importações dinamicamente.

Depois de inativo por cinco segundos, o Claimloader aloca um novo buffer executável na memória e copia a carga do shellcode nele. O malware fica em suspensão por mais 10 segundos e, em seguida, chama as funções GetDC() e EnumFontW() da API, que são usadas para executar a carga na memória, passando seu ponto de entrada como uma função de retorno de chamada.