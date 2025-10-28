Entre agosto e outubro de 2025, o IBM X-Force observou vários e-mails direcionados a prováveis indivíduos colombianos que falam espanhol com temas relacionados à Procuradoria geral da Colômbia. Os e-mails incentivam o usuário a baixar um "documento oficial" do sistema de informações judiciais, o que inicia a cadeia de infecção com a execução de um Hijackloader que leva ao Remote Access Trojan (RAT) PureHVNC.
Entre agosto e outubro de 2025, o X-Force observou vários e-mails direcionados a usuários provavelmente residentes na Colômbia, com e-mails que imitavam o gabinete do procurador-geral da Colômbia com downloads de documentos oficiais. O objetivo do e-mail era usar o Hijackloader para distribuir diversas cargas úteis, incluindo o PureHVNC. O próprio Hijackloader não tem sido amplamente utilizado em campanhas direcionadas a usuários na América Latina (LATAM) e, anteriormente, não havia campanhas observáveis da X-Force em que usuários da LATAM fossem direcionados a entregar o PureHVNC. Em 2024, há detalhes do Hijackloader sendo usado para carregar RemcosRAT em campanhas direcionadas a clientes da CrowdStrike, provavelmente de países da LATAM (com base em nomes de arquivos e instruções em espanhol). A entrega do PureHVNC RAT é interessante, pois o X-Force não observou anteriormente nenhuma campanha em que o PureHVNC foi entregue a usuários que falam espanhol. O PureHVNC RAT faz parte de um conjunto de ferramentas vendidas pela PureCoder. As ferramentas maliciosas são facilmente encontradas à venda na dark web, em fóruns clandestinos, bem como no Telegram.
Os usuários recebem um e-mail que afirma ser uma correspondência oficial relacionada à Procuradoria-Geral da Colômbia. O e-mail informa que uma ação judicial foi movida por um ex-funcionário e está sendo processada na justiça do trabalho. Anexado ao e-mail está um arquivo SVG, que é aberto pela vítima no Google Drive. Na maioria dos casos, a prévia do documento está visível e está pronta para download com um clique no botão de download. Em um dos casos, a vítima se deparou com a mensagem "não foi possível visualizar o arquivo" e um botão de download, que abriu o arquivo no Google Drive. De qualquer forma, no Google Drive, quando a vítima clica em qualquer lugar do documento para fazer o download de um arquivo ZIP, ela é levada a uma página de “download concluído” contendo uma senha como “KC4SX87”. O arquivo ZIP contém vários arquivos adicionais, sendo um deles um arquivo executável que exige senha do usuário para ser executado ao ser clicado. Clicar no arquivo EXE iniciará a cadeia de infecção, por meio da qual o Hijackloader é usado para implementar várias cargas diferentes, incluindo o PureHVNC.
Estágio 1 do malware: carregamento lateral de DLL
O Hijackloader utiliza uma técnica chamada carregamento lateral de DLL, que explora a ordem de busca que o Windows utiliza para localizar bibliotecas necessárias, a fim de executar uma DLL maliciosa. O Hijackloader utiliza um javaw.exe legítimo, que foi renomeado com um nome relacionado ao judiciário (02 BOLETA FISCAL.exe). Como uma das dependências do javaw.exe é o JLI.dll, o Hijackloader coloca uma versão modificada do JLI.dll no mesmo diretório. Quando o javaw.exe renomeado é executado, o sistema operacional também carrega a DLL maliciosa do diretório local.
A principal função do JLI.dll malicioso é carregar a carga útil do segundo estágio, MSTH7EN.dll. Isso é feito chamando a API LoadLibraryW() , que carrega o arquivo MSTH7EN.dll. no espaço de endereçamento do processo. A chamada da API retorna o endereço base da imagem da DLL recém-carregada. Esse endereço é então adicionado a um deslocamento específico para calcular o ponto de entrada do código malicioso em MSTH7EN.dll.
Estágio 2 do malware: fase de carregamento
A carga útil do segundo estágio começa com a inicialização. Para evitar a detecção, ele carrega e resolve de forma dinâmica todas as bibliotecas e APIs necessárias. Depois de concluído, verifica se o diretório de trabalho atual corresponde à localização do Hijackloader, garantindo que a carga útil do terceiro estágio possa ser referenciada e carregada corretamente.
A carga útil do terceiro estágio contém uma configuração de malware criptografada com os seguintes componentes:
Após a descriptografia, a configuração do malware contém informações, como as seguintes:
O shellcode é então carregado em vssapi.dll, que é a DLL especificada na configuração do malware. Isso é feito chamando o VirtualProtect() para alterar a proteção de memória da seção .text da DLL para PAGE_EXECUTE_READWRITE. Finalmente, o shellcode é copiado para esse endereço gravável e o fluxo de execução é transferido para ele.
O shellcode atua como um carregador, mas primeiro ele cria hashes dos nomes dos processos em execução no sistema e os compara com os valores especificados na configuração do malware. Se uma correspondência for encontrada, o malware usará a API NtDelayExecution() para impedir sua própria execução.
Em seguida, ele lê o conteúdo do Plagkeg.zk. O conteúdo deste arquivo é outra configuração de malware criptografada e módulos do HijackLoader. Os dados são divididos em vários blocos, com a parte inicial contendo as seguintes informações:
As partes subsequentes seguem esta estrutura:
Para montar esses blocos, o HijackLoader percorre os dados criptografados em busca do padrão"????IDAT", em que os pontos de interrogação funcionam como curingas. Quando uma correspondência é encontrada, ela verifica se os quatro bytes imediatamente seguintes ao padrão são iguais a 0xC6A579EA. Isso confirma que o bloco inicial foi encontrado, o que é importante porque contém o tamanho total do shellcode e a chave de descriptografia. Se o valor corresponder, o HijackLoader armazena os bytes de shellcode em um buffer. O processo é repetido para todos os blocos subsequentes, com seus bytes de shellcode sendo acrescentados ao mesmo buffer, até que não seja mais encontrado um padrão correspondente.
Uma vez feito isso, o buffer que contém o shellcode criptografado é descriptografado usando uma cifra XOR e, em seguida, descompactado usando o algoritmo LZNT1. O resultado é uma estrutura que contém diversas informações, como a carga útil final, a estrutura do módulo, etc.
Estágio 3 do malware: ti64 - módulo principal
A funcionalidade do HijackLoader é dividida em módulos. Alguns contêm código executável, enquanto outros são simplesmente informações usadas para referência. Um exemplo disso é o módulo COPYLIST,que contém a lista de nomes de arquivos relacionados a essa variante do HijackLoader. De acordo com o relatório da Trellix, algumas variantes do HijackLoader suportam até 40 módulos, mas a amostra analisada para este relatório suporta apenas 35. Nem todos os módulos são executados e seu uso depende de sinalizadores especificados na configuração do malware.
A tabela abaixo resume o nome de cada módulo e sua finalidade:
O HijackLoader percorre essas estruturas e converte o nome de cada módulo em um hash usando um algoritmo personalizado. Quando a correspondência para o módulo "ti64" é encontrada, ele calcula um ponteiro para o código do módulo adicionando o deslocamento dos dados à base da matriz de dados do módulo. Esse ponteiro é então retornado e usado como referência ao shellcode de "ti64".
Em seguida, o malware executa outra operação de esvaziamento de DLL para injetar o shellcode do módulo “ti64”. O alvo é uma DLL especificada na configuração descriptografada anteriormente, que, nesse caso, é pla.dll.
Nome do Módulo
Hash
Propósito
AVDATA
0x78B783CA
Contém hashes de processos relacionados a produtos de segurança
ESAL
0x757C9405
Limpa os dados na memória do Hijackloader e executa a carga final
ESLDR
0xE7794E15
Usado para injetar e executar shellcode relacionado ao HijackLoader
ESWR
0x93EB1CB1
Limpa os dados do shellcode e executa o módulo rshell
FIXED
0x699D0C82
Arquivo PE legítimo usado para injetar código em seu processo
LauncherLdr64
0xF4F141C2
Descriptografa arquivos de configuração que são armazenados no disco
modCreateProcess
0x696F778F
Usado para executar um arquivo
modTask
0x3115355E
Cria persistência usando tarefa agendada
modUAC
0xC64EBFDA
Usado para escalonamento de privilégios
modWriteFile
0xFCE82FC1
Gerencia a criação de arquivos no disco
rshell
rshell64
0x74984889
Executa a carga útil final
ti
ti64
0x3EE477F1
Serve como o shellcode principal que executa todos os outros módulos
TinyCallProxy
0x455CBBC3
Atua como proxy para executar chamadas de API
tinystub
0x4EACE798
Contém um arquivo executável fictício, que é usado para aplicação de patches durante o processo final de execução da carga útil
tinyutilitymodule.dll
0xA1D724FC
Substitui os cabeçalhos PE de um arquivo especificado com bytes nulos
SM
0xD8222145
Contém o nome da DLL do sistema utilizada na falsificação do stack ou na injeção de shellcode
COPYLIST
0x1AE7700A
Uma lista de nomes de arquivos para cópia ou exclusão
CUSTOMINJECT
0x6703F815
Contém um arquivo executável legítimo usado para injetar código na memória do processo. O processo é criado em um caminho personalizado especificado pelo módulo CUSTOMINJECTPATH
CUSTOMINJECTPATH
0x192A4446
Contém um caminho de arquivo usado para criar o arquivo legítimo no módulo CUSTOMINJECT
X64L
0xCB5B9F3F
Módulo que é injetado em um processo para servir como proxy de injeção
WDUACDATA
0x4D75088D
Contém a string usada para executar comandos via cmd
WDDATA
0xB718A6AE
Contém um comando do PowerShell para adicionar uma exclusão do Windows Defender Antivírus
PERSDATA
0xA2E0AB5D
Contém a configuração utilizada pelo módulo modTask para criar tarefas agendadas
MUTEX
0x1999709F
Contém o nome do mutex a ser verificado
O módulo modUAC, semelhante aos outros módulos, usa o TinycallProxy para chamar APIs. Se a primeira DWORD do módulo UACDATA for 2, ele usará "runas" para elevar seu privilégio. Caso contrário, ele usará a interface CMSTPLUA COM para ignorar o UAC.
Em algumas variantes, o HijackLoader utiliza uma técnica chamada "stack spoofing" para mascarar a origem das chamadas de API e sistema. Ele faz isso usando o registrador de ponteiro de base (EBP) para navegar no stack, seguindo a cadeia de ponteiros EBP para recuperar o endereço de retorno de cada frame de stack. Se um endereço de retorno não estiver dentro da seção .text de ntdll.dll ou kernelbase.dll, o HijackLoader o armazena para uso posterior. Esse processo é repetido até que o limite do stack seja atingido ou até que três endereços de retorno consecutivos sejam encontrados dentro dessas bibliotecas do sistema.
Em seguida, ele executa a falsificação do stack substituindo os endereços de retorno legítimos salvos por endereços falsos. Cada endereço falso é gerado selecionando uma exportação aleatória de uma DLL especificada pelo módulo SM (neste caso, dcd9.dll) e adicionando um deslocamento aleatório, garantindo que o ponteiro final chegue na seção .text desse módulo. O Heaven's Gate é então usado para executar a chamada de sistema. Imediatamente após a conclusão da chamada, os endereços do stack originais são restaurados.
Variantes mais recentes, no entanto, utilizam uma técnica diferente. Em vez de falsificação de stack, o HijackLoader carrega a DLL de destino especificada pelo módulo SM via LoadLibraryW(). Ele então salva o código de um deslocamento aleatório dentro dessa DLL para um buffer temporário e o substitui pelo shellcode do módulo TinyCallProxy64, que é projetado para chamar a API especificada. Quando a chamada é concluída, o código original e limpo é restaurado.
O HijackLoader usa essas técnicas para um número seleto de funções que provavelmente serão monitoradas pelo software AV, como ZwProtectVirtualMemory e ZwGetContextThread.
Técnica
Descrição
Verificação anti-depuração baseada em tempo
Utiliza uma técnica de evasão baseada em tempo medindo a latência da instrução cpuid. Essa técnica envolve a chamada cpuid com instruções rdtsc dentro de um loop e, se o tempo de execução exceder um limite especificado, detecta a presença de um depurador ou máquina virtual.
Verificação de hipervisor
Realiza uma verificação anti-VM padrão executando a instrução cpuid e verificando o "bit de hipervisor" (bit 31) no registro ECX retornado. Se esse bit for definido como 1, indicará a presença de um hipervisor.
Verificação de ID do fornecedor
Executa uma verificação anti-VM consultando a folha de informações do hipervisor (0x40000000). Um valor de retorno em EAX que é maior ou igual a 0x40000000 indica a presença de folhas CPUID específicas de um hipervisor ativo.
Verificação da quantidade total de RAM
Executa uma verificação anti-área de testes consultando a RAM física total. Chama o NtQuerySystemInformation para calcular a memória total em gigabytes (deslocando para a direita a contagem de bytes em 30) e termina se o resultado estiver abaixo de 4 GB.
Verificação do número de processadores
Executa uma verificação anti-área de testes consultando o número de núcleos de CPU. Chama o NtQuerySystemInformation para obter o NumberOfProcessors e o compara com o valor especificado na configuração do módulo ANTIVM.
Verificação de nome de usuário
Compara o nome de usuário atual com o valor especificado no módulo ANTIVM.
Verificação do nome do computador
Verifica se o nome do computador consiste apenas em números.
Verifica o diretório de trabalho atual
Verifica se o caminho atual do módulo está na área de trabalho.
Um teste de anti-virtualização mal-sucedido resulta no encerramento do processo por meio de uma chamada para ZwTerminateProcess().
A rotina de unhooking compara o .text do ntdll.dll carregado atualmente em relação a uma cópia limpa e mapeada. Ele procura por instruções call (0xE8) e jmp (0xE9) e detecta um hook se o tipo da instrução ou o endereço de destino diferirem entre as duas versões. Caso encontre uma vulnerabilidade, o malware modifica o arquivo ntdll.dll na memória, restaurando os bytes originais e limpos.
O mecanismo de persistência do HijackLoader também é controlado por sua configuração. O comportamento é determinado por um sinalizador:
Além desses sinalizadores, o HijackLoader pode criar outro mecanismo de persistência verificando a existência de um módulo PERSDATA . Este módulo contém os dados de configuração necessários, como o nome da tarefa, para criar uma segunda tarefa agendada.
Tipo de Injeção
Descrição
Se o arquivo a ser injetado for uma DLL ou se os sinalizadores de injeção forem menores que 0x3
a carga útil final será executada no mesmo processo, portanto, a carga útil da DLL será mapeada na DLL vazia.
Se a carga útil final não for um arquivo .NET/CLR, os sinalizadores de injeção 0x20 serão falsos e 0x80 serão verdadeiros
Oculta a carga útil do rshell em um PE tinystub fictício usando uma transação NTFS revertida. Em seguida, ele mapeia esse PE oculto em um processo suspenso(FIXED), no qual o módulo ESWR sequestra o contexto da thread principal para executar o código rshell.
Se a carga útil final não for um arquivo.NET/CLR, os sinalizadores de injeção 0x20 e 0x80 serão falsos
O módulo FIXED é gravado em disco e criado como um processo suspenso. O módulo ESWR é então usado para acionar a execução da carga útil do rshell no processo FIXED .
Os sinalizadores de injeção 0x100 são definidos como verdadeiros e 0x20 como falsos
Injeta rShell em um executável legítimo do sistema em estado suspenso (por exemplo, MSBuild.exe), localizado por meio da análise do cabeçalho .NET para obter o caminho do CLR. A carga útil é corrigida na memória antes de ser executada por meio de sequestro de contexto de thread e limpa seus próprios cabeçalhos PE.
Os sinalizadores de injeção 0x4 e 0x80 são ambos verdadeiros.
Elimina condicionalmente o módulo FIXED e, em seguida, armazena a carga útil do rshell em um arquivo transacionado revertido(tinystub). Isso é injetado no processo FIXED suspenso por meio de mapeamento de seção. A execução é acionada por meio do sequestro do contexto da thread, seguida opcionalmente pela eliminação do cabeçalho PE.
Os sinalizadores de injeção 0x4 são verdadeiros e 0x80 são falsos.
O HijackLoader inicia um processo suspenso, cria e mapeia uma nova seção de memória diretamente dentro dele e, em seguida, grava o módulo rshell corrigido nessa seção. A execução é acionada pelo sequestro do contexto da thread principal para executar o código rshell.
Os sinalizadores de injeção 0x4 são falsos e 0x10 são verdadeiros.
Executa o Process Hollowing iniciando seu módulo FIXED, limpando sua seção de memória principal e, em seguida, copiando a carga útil. Escreve o cabeçalho "MZ" em duas chamadas separadas. Por fim, injeta o módulo rShell corrigido, modifica o PEB e, opcionalmente, apaga o cabeçalho PE da carga útil.
O tipo de injeção é definido como 4
Injeta o módulo rshell e a carga útil principal via mapeamento de seção. Uma seção é criada e preenchida localmente com o rshell e a carga útil corrigidos e, em seguida, mapeada em um processo de destino suspenso (um binário nativo do sistema ou um módulo CUSTOMINJECT ). A execução é acionada pelo sequestro do contexto da thread principal para apontar para o ponto de entrada do rshell.
Os usuários nas regiões LATAM são cada vez mais alvos de e-mails que se passam por entidades do governo ou judiciais, com temas que muitas vezes criam um senso de urgência. O X-Force observa campanhas que envolvem rotineiramente um link incorporado ou anexos ZIP que levam as vítimas a downloaders maliciosos. Entre agosto e outubro de 2025, o X-Force observou vários e-mails direcionados a usuários provavelmente residentes na Colômbia, com e-mails que imitavam o gabinete do procurador-geral da Colômbia com downloads de documentos oficiais. O Hijackloader é um malware modular com mecanismos de evasão e persistência, entregue aos usuários principalmente como um arquivo ZIP ou RAR. Os arquivos contêm uma DLL mal-intencionada que é carregada lateralmente e usada para entregar cargas úteis adicionais. Esses e-mails, provavelmente parte de uma única campanha, são significativos pelo fato de os agentes utilizarem o Hijackloader para entregar o PureHVNC RAT, uma combinação não observada anteriormente pelo X-Force.
Indicador
Tipo de indicador
Contexto
troquelesmyj[@]gmail.com
E-mail do remetente
nuevos777[.]duckdns[.]org
Domínio
Domínio C2
7octubredc[.]duckdns[.]org
Domínio
Domínio C2
dckis13[.]duckdns[.]org
Domínio
Domínio C2
dckis7[.]duckdns[.]org
Domínio
Domínio C2
enviopago[.]mysynology[.]net
Domínio
Domínio C2
maximo26[.]duckdns[.]org
Domínio
Domínio C2
sofiavergara[.]duckdns[.]org
Domínio
Domínio C2
hxxps[:]//drive[.]google[.]com
URL
Host SVG
hxxps[:]//drive[.]google[.]com/
URL
Host SVG
e7120d45ee357f30cb602c0d93
SHA256
ZIP
7e64102405459192813541448c8
SHA256
RAR
14becb3a9663128543e1868d09
SHA256
Hijackloader
57c49cff3e71bc75641c78a5a72d
SHA256
Hijackloader
7c3d9ad3f1bd890e3552dc6709
SHA256
Hijackloader
ce42377d3d26853fd1718f69341
SHA256
Hijackloader
a0e4979b4e4a706286438d48f
SHA256
Hijackloader
6d93a486e077858b75eb814e
SHA256
Hijackloader
bdca9849d7263d508b7ed4db
SHA256
Hijackloader
1ae61edf35127264d329b7c0e2
SHA256
Hijackloader
2ec31a8a36d73fa8354a7ac0c
SHA256
Hijackloader
776bbaa44c7788e0ccd5945
SHA256
Hijackloader
9e9997b54da0c633ffcf0a4fb
SHA256
Hijackloader
b2f733b67f1ef06d9e5ce76d3
SHA256
Hijackloader
c93e70d20ba2948a6a8a013
SHA256
Hijackloader
d550a2a327394148c0c3d05
SHA256
Hijackloader
e668ca17fcdfa818aac35f1206
SHA256
Hijackloader
fe6d0ee45a70359008b2916
SHA256
Hijackloader
977f2f18ff13c93406c5702f83
SHA256
Hijackloader
768ca38878c5bb15650343ce
SHA256
Hijackloader
47245b7d2d8cb6b92308deb
SHA256
Hijackloader
4484b0ac51536890301a0e6
SHA256
Hijackloader
0113d9f3d93069a29458b3b4
SHA256
Hijackloader
22d474e729d600dcd84ce139
SHA256
Hijackloader
2cbfc482e27a2240a48d2fb6f
SHA256
Hijackloader
96ee786c5b6167c0f0f770efba
SHA256
Hijackloader
33d0c63777882c9ec514be06
SHA256
PureHVNC
afecefa6d9bd1e6d1c9214420
SHA256
PureHVNC
85641c8fb94e8e4c5202152dc
SHA256
PureHVNC
1bf3a1cf9bc7eded0b8994d44
SHA256
PureHVNC
