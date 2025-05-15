Uma técnica semelhante foi relatada anteriormente pelo grupo do NCC.

Em novembro de 2022, o LAC relatou uma variante do Claimloader provavelmente visando organizações do governo nas Filipinas em uma cadeia de infecção quase exatamente igual à atividade em 2023-2024 detalhada nas seções anteriores. A variante armazena sua carga como blocos de 32 bytes de strings de stack criptografadas, antes de descriptografar cada uma delas. Ele também copia o executável legítimo e a DLL do Claimloader para um novo diretório antes de tentar estabelecer persistência por meio do registro ou de tarefas agendadas, tornando-o efetivamente um instalador além de um carregador.

Após a execução, o malware começa criando um mutex permanente para garantir que apenas uma única instância do Claimloader esteja em execução. Em seguida, ele verifica se há um argumento de linha de comando específico, que não está presente na primeira execução. Se for esse o caso, o Claimloader copiará o EXE e a DLL em um novo diretório discreto, geralmente em "C:\ProgramData\", imitando um diretório de software como:

C:\ProgramData\NVIDIACorporatione\

C:\ProgramData\NVIDIACorporation\

C:\ProgramData\jxbrowserEdgeBLA\

C:\ProgramData\jxbrowserEdgeIDWT\

C:\ProgramData\JxbrowserChromium\

C:\ProgramData\FastPerfPDF\

C:\ProgramData\NVIDIAFrameViewSDK\

Esse comportamento é usado pela maioria das amostras mais recentes do Claimloader e também pode levar a execuções malsucedidas de áreas de testes.

Em seguida, o malware estabelece persistência no login armazenando o caminho do EXE com o argumento correto de linha de comando em uma nova chave de registro novamente com um nome de software discreto em:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run