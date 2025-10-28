Segurança

Relatório de análise de ameaças X-Force: LATAM foi induzida à distribuir PureHVNC

Publicado 28/10/2025
Vista lateral de mãos digitando no teclado de um notebook em uma sala com iluminação azul

Autores

Melissa Frydrych-Dean

Threat Hunt Researcher

IBM

Raymond Joseph Alfonso

Malware Reverse Engineer

IBM X-Force

Entre agosto e outubro de 2025, o IBM X-Force observou vários e-mails direcionados a prováveis indivíduos colombianos que falam espanhol com temas relacionados à Procuradoria geral da Colômbia. Os e-mails incentivam o usuário a baixar um "documento oficial" do sistema de informações judiciais, o que inicia a cadeia de infecção com a execução de um Hijackloader que leva ao Remote Access Trojan (RAT) PureHVNC.

Tipo de ameaça

  • Phishing

Background

Entre agosto e outubro de 2025, o X-Force observou vários e-mails direcionados a usuários provavelmente residentes na Colômbia, com e-mails que imitavam o gabinete do procurador-geral da Colômbia com downloads de documentos oficiais. O objetivo do e-mail era usar o Hijackloader para distribuir diversas cargas úteis, incluindo o PureHVNC. O próprio Hijackloader não tem sido amplamente utilizado em campanhas direcionadas a usuários na América Latina (LATAM) e, anteriormente, não havia campanhas observáveis da X-Force em que usuários da LATAM fossem direcionados a entregar o PureHVNC. Em 2024, há detalhes do Hijackloader sendo usado para carregar RemcosRAT em campanhas direcionadas a clientes da CrowdStrike, provavelmente de países da LATAM (com base em nomes de arquivos e instruções em espanhol). A entrega do PureHVNC RAT é interessante, pois o X-Force não observou anteriormente nenhuma campanha em que o PureHVNC foi entregue a usuários que falam espanhol. O PureHVNC RAT faz parte de um conjunto de ferramentas vendidas pela PureCoder. As ferramentas maliciosas são facilmente encontradas à venda na dark web, em fóruns clandestinos, bem como no Telegram.

Análise

Visão geral

Os usuários recebem um e-mail que afirma ser uma correspondência oficial relacionada à Procuradoria-Geral da Colômbia. O e-mail informa que uma ação judicial foi movida por um ex-funcionário e está sendo processada na justiça do trabalho. Anexado ao e-mail está um arquivo SVG, que é aberto pela vítima no Google Drive. Na maioria dos casos, a prévia do documento está visível e está pronta para download com um clique no botão de download. Em um dos casos, a vítima se deparou com a mensagem "não foi possível visualizar o arquivo" e um botão de download, que abriu o arquivo no Google Drive. De qualquer forma, no Google Drive, quando a vítima clica em qualquer lugar do documento para fazer o download de um arquivo ZIP, ela é levada a uma página de “download concluído” contendo uma senha como “KC4SX87”. O arquivo ZIP contém vários arquivos adicionais, sendo um deles um arquivo executável que exige senha do usuário para ser executado ao ser clicado. Clicar no arquivo EXE iniciará a cadeia de infecção, por meio da qual o Hijackloader é usado para implementar várias cargas diferentes, incluindo o PureHVNC.

captura de tela de um exemplo de e-mail para esta campanha de phishing
Figura 1 Exemplo de e-mail
Exemplo de página de download
Figura 2 Exemplo de página de download
Download de SVG falsificando a Consulta de Procesos Nacional Unificada
Figura 3 Download de SVG
Visualização de download de documento SVG falsificado para o Portal de Consulta Ciudadana
Figura 4 Visualização do download do documento SVG
Download de SVG falsificando o Portal de Consulta Ciudadana
Figura 5 Download de SVG
captura de tela do download completo e senha
Figura 6 Download completo e senha
Conteúdo do arquivo ZIP
Figura 7 Conteúdo do arquivo ZIP
Entrada de senha para arquivo EXE
Figura 8 Entrada de senha para o arquivo EXE

Exemplo de cadeia de infecção para PureHVNC

  • 02 BOLETA FISCAL.exe (javaw.exe) → JLI.dll → MSTH7EN.DLL → Sumhand.zam → Plagkeg.zk → PureHVNC → sofiavergara[.]duckdns[.]org

Estágio 1 do malware: carregamento lateral de DLL

O Hijackloader utiliza uma técnica chamada carregamento lateral de DLL, que explora a ordem de busca que o Windows utiliza para localizar bibliotecas necessárias, a fim de executar uma DLL maliciosa. O Hijackloader utiliza um javaw.exe legítimo, que foi renomeado com um nome relacionado ao judiciário (02 BOLETA FISCAL.exe). Como uma das dependências do javaw.exe é o JLI.dll, o Hijackloader coloca uma versão modificada do JLI.dll no mesmo diretório. Quando o javaw.exe renomeado é executado, o sistema operacional também carrega a DLL maliciosa do diretório local.

A principal função do JLI.dll malicioso é carregar a carga útil do segundo estágio, MSTH7EN.dll. Isso é feito chamando a API LoadLibraryW() , que carrega o arquivo MSTH7EN.dll. no espaço de endereçamento do processo. A chamada da API retorna o endereço base da imagem da DLL recém-carregada. Esse endereço é então adicionado a um deslocamento específico para calcular o ponto de entrada do código malicioso em MSTH7EN.dll.

if ( v25 )
{
  *v25 += v25;
  *(v25 - 117) += v26;
  v27 = v42;
  v28 = *v26;
  do
  {
      ++v26;
      *v27++ = v28;
      v28 = *v26;
  }
  while ( *v26 );
  *v27 = 0;
  LibraryA = LoadLibraryA(v42); //Load MSTH7EN.DLL
  if ( LibraryA )
    LOBYTE(LibraryA) = ((LibraryA + 31934))(); //Image base of MSTH7EN.dll +
31934 (malicious code offset)
  }

Estágio 2 do malware: fase de carregamento

A carga útil do segundo estágio começa com a inicialização. Para evitar a detecção, ele carrega e resolve de forma dinâmica todas as bibliotecas e APIs necessárias. Depois de concluído, verifica se o diretório de trabalho atual corresponde à localização do Hijackloader, garantindo que a carga útil do terceiro estágio possa ser referenciada e carregada corretamente.

A carga útil do terceiro estágio contém uma configuração de malware criptografada com os seguintes componentes:

  • Chave para descriptografar a configuração
  • Tamanho da configuração criptografada
  • Os dados de configuração criptografados

Após a descriptografia, a configuração do malware contém informações, como as seguintes:

  • O nome da DLL na qual será realizado o processo de esvaziamento de DLL
  • O tamanho do shellcode para o esvaziamento de DLL
  • O deslocamento do código malicioso dentro do shellcode
  • Hashes de nomes de processos que, se encontrados, atrasarão a execução do malware
  • Os primeiros quatro bytes do shellcode, usados para validação
  • Uma string de pesquisa usada para localizar o início do shellcode
captura de tela da configuração de malware criptografado
Figura 9 Configuração de malware criptografado
captura de tela da configuração de malware descriptografado
Figura 10 Configuração de malware descriptografado

O shellcode é então carregado em vssapi.dll, que é a DLL especificada na configuração do malware. Isso é feito chamando o VirtualProtect() para alterar a proteção de memória da seção .text da DLL para PAGE_EXECUTE_READWRITE. Finalmente, o shellcode é copiado para esse endereço gravável e o fluxo de execução é transferido para ele.

O shellcode atua como um carregador, mas primeiro ele cria hashes dos nomes dos processos em execução no sistema e os compara com os valores especificados na configuração do malware. Se uma correspondência for encontrada, o malware usará a API NtDelayExecution() para impedir sua própria execução.

Em seguida, ele lê o conteúdo do Plagkeg.zk. O conteúdo deste arquivo é outra configuração de malware criptografada e módulos do HijackLoader. Os dados são divididos em vários blocos, com a parte inicial contendo as seguintes informações:

  • O tamanho dos dados criptografados
  • Marcador ("IDAT")
  • Um valor (0xC6A579EA) usado para verificar os bytes iniciais do shellcode
  • A chave para descriptografar os dados

As partes subsequentes seguem esta estrutura:

  • O tamanho do bloco de shellcode
  • Marcador ("IDAT")
  • Os bytes criptografados

Para montar esses blocos, o HijackLoader percorre os dados criptografados em busca do padrão"????IDAT", em que os pontos de interrogação funcionam como curingas. Quando uma correspondência é encontrada, ela verifica se os quatro bytes imediatamente seguintes ao padrão são iguais a 0xC6A579EA. Isso confirma que o bloco inicial foi encontrado, o que é importante porque contém o tamanho total do shellcode e a chave de descriptografia. Se o valor corresponder, o HijackLoader armazena os bytes de shellcode em um buffer. O processo é repetido para todos os blocos subsequentes, com seus bytes de shellcode sendo acrescentados ao mesmo buffer, até que não seja mais encontrado um padrão correspondente.

Uma vez feito isso, o buffer que contém o shellcode criptografado é descriptografado usando uma cifra XOR e, em seguida, descompactado usando o algoritmo LZNT1. O resultado é uma estrutura que contém diversas informações, como a carga útil final, a estrutura do módulo, etc.

Estágio 3 do malware: ti64 - módulo principal

A funcionalidade do HijackLoader é dividida em módulos. Alguns contêm código executável, enquanto outros são simplesmente informações usadas para referência. Um exemplo disso é o módulo COPYLIST,que contém a lista de nomes de arquivos relacionados a essa variante do HijackLoader. De acordo com o relatório da Trellix, algumas variantes do HijackLoader suportam até 40 módulos, mas a amostra analisada para este relatório suporta apenas 35. Nem todos os módulos são executados e seu uso depende de sinalizadores especificados na configuração do malware.

A tabela abaixo resume o nome de cada módulo e sua finalidade:

O HijackLoader percorre essas estruturas e converte o nome de cada módulo em um hash usando um algoritmo personalizado. Quando a correspondência para o módulo "ti64" é encontrada, ele calcula um ponteiro para o código do módulo adicionando o deslocamento dos dados à base da matriz de dados do módulo. Esse ponteiro é então retornado e usado como referência ao shellcode de "ti64".

Em seguida, o malware executa outra operação de esvaziamento de DLL para injetar o shellcode do módulo “ti64”. O alvo é uma DLL especificada na configuração descriptografada anteriormente, que, nesse caso, é pla.dll.

Nome do Módulo

Hash

Propósito

AVDATA

0x78B783CA

Contém hashes de processos relacionados a produtos de segurança

ESAL
ESAL64

0x757C9405
0x6364A15B

Limpa os dados na memória do Hijackloader e executa a carga final

ESLDR
ESLDR64

0xE7794E15
0x4FA01AC5

Usado para injetar e executar shellcode relacionado ao HijackLoader

ESWR
ESWR64

0x93EB1CB1
0xAE2762

Limpa os dados do shellcode e executa o módulo rshell

FIXED

0x699D0C82

Arquivo PE legítimo usado para injetar código em seu processo

LauncherLdr64

0xF4F141C2

Descriptografa arquivos de configuração que são armazenados no disco

modCreateProcess
modCreateProcess64

0x696F778F
0x9B0B7E4B

Usado para executar um arquivo

modTask
modTask64

0x3115355E
0x9BFAF2D3

Cria persistência usando tarefa agendada

modUAC
modUAC64

0xC64EBFDA
0xC97832F9

Usado para escalonamento de privilégios

modWriteFile
modWriteFile64

0xFCE82FC1
0x90415081

Gerencia a criação de arquivos no disco

rshell

rshell64

0x74984889
0x7B37E907

Executa a carga útil final

ti

ti64

0x3EE477F1
0x2AB77DB8

Serve como o shellcode principal que executa todos os outros módulos

TinyCallProxy
TinyCallProxy64

0x455CBBC3
0x5515DCEA

Atua como proxy para executar chamadas de API

tinystub
tinystub64

0x4EACE798
0x6E874E5A

Contém um arquivo executável fictício, que é usado para aplicação de patches durante o processo final de execução da carga útil

tinyutilitymodule.dll
tinyutilitymodule64.dll

0xA1D724FC
0xA0077EA3

Substitui os cabeçalhos PE de um arquivo especificado com bytes nulos

SM

0xD8222145

Contém o nome da DLL do sistema utilizada na falsificação do stack ou na injeção de shellcode

COPYLIST

0x1AE7700A

Uma lista de nomes de arquivos para cópia ou exclusão

CUSTOMINJECT

0x6703F815

Contém um arquivo executável legítimo usado para injetar código na memória do processo. O processo é criado em um caminho personalizado especificado pelo módulo CUSTOMINJECTPATH 

CUSTOMINJECTPATH

0x192A4446

Contém um caminho de arquivo usado para criar o arquivo legítimo no módulo CUSTOMINJECT 

X64L

0xCB5B9F3F

Módulo que é injetado em um processo para servir como proxy de injeção

WDUACDATA

0x4D75088D

Contém a string usada para executar comandos via cmd

WDDATA

0xB718A6AE

Contém um comando do PowerShell para adicionar uma exclusão do Windows Defender Antivírus

PERSDATA

0xA2E0AB5D

Contém a configuração utilizada pelo módulo modTask para criar tarefas agendadas

MUTEX

0x1999709F

Contém o nome do mutex a ser verificado

Escalonamento de privilégios

O módulo modUAC, semelhante aos outros módulos, usa o TinycallProxy para chamar APIs. Se a primeira DWORD do módulo UACDATA for 2, ele usará "runas" para elevar seu privilégio. Caso contrário, ele usará a interface CMSTPLUA COM para ignorar o UAC.

Evasão

Chamada de API indireta

Em algumas variantes, o HijackLoader utiliza uma técnica chamada "stack spoofing" para mascarar a origem das chamadas de API e sistema. Ele faz isso usando o registrador de ponteiro de base (EBP) para navegar no stack, seguindo a cadeia de ponteiros EBP para recuperar o endereço de retorno de cada frame de stack. Se um endereço de retorno não estiver dentro da seção .text de ntdll.dll ou kernelbase.dll, o HijackLoader o armazena para uso posterior. Esse processo é repetido até que o limite do stack seja atingido ou até que três endereços de retorno consecutivos sejam encontrados dentro dessas bibliotecas do sistema.

Em seguida, ele executa a falsificação do stack substituindo os endereços de retorno legítimos salvos por endereços falsos. Cada endereço falso é gerado selecionando uma exportação aleatória de uma DLL especificada pelo módulo SM (neste caso, dcd9.dll) e adicionando um deslocamento aleatório, garantindo que o ponteiro final chegue na seção .text desse módulo. O Heaven's Gate é então usado para executar a chamada de sistema. Imediatamente após a conclusão da chamada, os endereços do stack originais são restaurados.

Variantes mais recentes, no entanto, utilizam uma técnica diferente. Em vez de falsificação de stack, o HijackLoader carrega a DLL de destino especificada pelo módulo SM via LoadLibraryW(). Ele então salva o código de um deslocamento aleatório dentro dessa DLL para um buffer temporário e o substitui pelo shellcode do módulo TinyCallProxy64, que é projetado para chamar a API especificada. Quando a chamada é concluída, o código original e limpo é restaurado.

O HijackLoader usa essas técnicas para um número seleto de funções que provavelmente serão monitoradas pelo software AV, como ZwProtectVirtualMemory ZwGetContextThread.

__int64 __fastcall sub_7FF87A86D3B0(
        GlobalContext_0 *a1,
        __int64 hash_of_function,
        __int64 a3,
        __int64 a4,
        __int64 a5,
        __int64 a6,
        __int64 a7)
{
  Indirect_SYSCALL *syscall_struct; // [rsp+40h] [rbp-28h]
  __int64 (__fastcall *pAPIFunc)(__int64, __int64, __int64, __int64, __int64);
// [rsp+48h] [rbp-20h]

  syscall_struct = sub_7FF87A86B470(a1, hash_of_function);
  if ( !syscall_struct )
    return 0xFFFFFFFFLL;
  pAPIFunc = (a1->ntdll_image_base + syscall_struct->api_rva);
  if ( a1->GlobalContext_1 )
    return mw_indirect_api_call(a1->GlobalContext_1, pAPIFunc, a3, a4, a5, a6, a7);
  else
    return pAPIFunc(a3, a4, a5, a6, a7);
}

__int64 __fastcall mw_indirect_api_call(
        GlobalContext_1 *TinyCallProxy64,
        __int64 pAPIFunc,
        __int64 a3,
        __int64 a4,
        __int64 NtClose,
        __int64 a6,
        __int64 a7)
{
  _BYTE *shellcodeAddress; // [rsp+40h] [rbp-58h]
  unsigned int v9; // [rsp+48h] [rbp-50h] BYREF
  int v10; // [rsp+4Ch] [rbp-4Ch] BYREF
  unsigned int v11; // [rsp+50h] [rbp-48h]
  _BYTE *clean_code; // [rsp+58h] [rbp-40h]
  unsigned int v13; // [rsp+60h] [rbp-38h]
  void (__fastcall *FlushInstructionCache)(__int64, _BYTE *, _QWORD); //
[rsp+68h] [rbp-30h]
  unsigned __int64 random_address; // [rsp+70h] [rbp-28h]
  __int64 (__fastcall *pShellcodeAddress)(__int64, unsigned __int64, _QWORD,
__int64, __int64, __int64, __int64, __int64); // [rsp+78h] [rbp-20h]
  void (__fastcall *v17)(__int64, _BYTE *, _QWORD); // [rsp+80h] [rbp-18h]

  v13 = 5;
  v11 = 0;
  shellcodeAddress = mw_pick_random_address(TinyCallProxy64);// d3d9.dll address
  v9 = 0;
  v10 = 0;
  if ( !(TinyCallProxy64->VirtualProtect)(shellcodeAddress,
LODWORD(TinyCallProxy64->shellcode_size), 64LL, &v9) )
    return -1LL;
  clean_code = (TinyCallProxy64->malloc)(LODWORD(TinyCallProxy64->shellcode_size));
  wrapper_memcpy(clean_code, shellcodeAddress, TinyCallProxy64->shellcode_size);
  wrapper_memcpy(shellcodeAddress, TinyCallProxy64->shellcode, TinyCallProxy64->shellcode_size);
  (TinyCallProxy64->VirtualProtect)(shellcodeAddress, LODWORD(TinyCallProxy64->shellcode_size), v9, &v9);
  if ( TinyCallProxy64->FlushInstructionCache )
  {
    FlushInstructionCache = TinyCallProxy64->FlushInstructionCache;
    FlushInstructionCache(-1LL, shellcodeAddress, LODWORD(TinyCallProxy64->shellcode_size));
  }
  pShellcodeAddress = shellcodeAddress;
  random_address = mw_pick_random_address(TinyCallProxy64);
  v11 = pShellcodeAddress(pAPIFunc, random_address, v13, a3, a4, a5, a6, a7);
  if ( (TinyCallProxy64->VirtualProtect)(shellcodeAddress, LODWORD(TinyCallProxy64->shellcode_size), 0x40LL, &v10) )
    wrapper_memcpy(shellcodeAddress, clean_code, TinyCallProxy64->shellcode_size);
  (TinyCallProxy64->VirtualProtect)(shellcodeAddress, LODWORD(TinyCallProxy64->shellcode_size), 32LL, &v10);
  if ( clean_code )
    (TinyCallProxy64->free)(clean_code);
  if ( TinyCallProxy64->FlushInstructionCache )
  {
    v17 = TinyCallProxy64->FlushInstructionCache;
    v17(-1LL, shellcodeAddress, LODWORD(TinyCallProxy64->shellcode_size));
  }
  return v11;
}

ANTIVM

Técnica

Descrição

Verificação anti-depuração baseada em tempo

Utiliza uma técnica de evasão baseada em tempo medindo a latência da instrução cpuid. Essa técnica envolve a chamada cpuid com instruções rdtsc dentro de um loop e, se o tempo de execução exceder um limite especificado, detecta a presença de um depurador ou máquina virtual.

Verificação de hipervisor

Realiza uma verificação anti-VM padrão executando a instrução cpuid e verificando o "bit de hipervisor" (bit 31) no registro ECX retornado. Se esse bit for definido como 1, indicará a presença de um hipervisor.

Verificação de ID do fornecedor

Executa uma verificação anti-VM consultando a folha de informações do hipervisor (0x40000000). Um valor de retorno em EAX que é maior ou igual a 0x40000000 indica a presença de folhas CPUID específicas de um hipervisor ativo.

Verificação da quantidade total de RAM

Executa uma verificação anti-área de testes consultando a RAM física total. Chama o NtQuerySystemInformation para calcular a memória total em gigabytes (deslocando para a direita a contagem de bytes em 30) e termina se o resultado estiver abaixo de 4 GB.

Verificação do número de processadores

Executa uma verificação anti-área de testes consultando o número de núcleos de CPU. Chama o NtQuerySystemInformation para obter o NumberOfProcessors e o compara com o valor especificado na configuração do módulo ANTIVM.

Verificação de nome de usuário

Compara o nome de usuário atual com o valor especificado no módulo ANTIVM.

Verificação do nome do computador

Verifica se o nome do computador consiste apenas em números.

Verifica o diretório de trabalho atual

Verifica se o caminho atual do módulo está na área de trabalho.

Um teste de anti-virtualização mal-sucedido resulta no encerramento do processo por meio de uma chamada para ZwTerminateProcess().

Unhooking NTDLLs

A rotina de unhooking compara o .text do ntdll.dll carregado atualmente em relação a uma cópia limpa e mapeada. Ele procura por instruções call (0xE8) e jmp (0xE9) e detecta um hook se o tipo da instrução ou o endereço de destino diferirem entre as duas versões. Caso encontre uma vulnerabilidade, o malware modifica o arquivo ntdll.dll na memória, restaurando os bytes originais e limpos.

for ( i = 0; ; ++i )
{
  result = v5[6];
    if ( i >= result )
      break;
    function_rva = *(v7 + 4LL * *(v6 + 2LL * i));
    if ( *(a1->ntdll_image_base + function_rva) != *(a2->clean_ntdll_buffer + function_rva) )// check if the ntdll functions are hooked
                                                // This is done by comparing the first byte of the fuinction.
    {
      if ( check_if_valid_address(a1, a1->ntdll_image_base, function_rva) )
        mw_clean_dll(a1, a2, function_rva, a1->ntdll_image_base, a2->clean_ntdll_buffer);
    }
  }
  return result;
}

Persistência

O mecanismo de persistência do HijackLoader também é controlado por sua configuração. O comportamento é determinado por um sinalizador:

  • Atalho LNK (sinalizador 1): se o sinalizador for definido como 1, o HijackLoader criará um arquivo LNK apontando para seu próprio caminho executável. Esse atalho é então migrado para a pasta de inicialização do usuário para garantir a execução no logon.
  • Tarefa agendada (sinalizador 3): se o sinalizador for definido como 3, ele criará uma tarefa agendada usando o módulo modTask .

Além desses sinalizadores, o HijackLoader pode criar outro mecanismo de persistência verificando a existência de um módulo PERSDATA . Este módulo contém os dados de configuração necessários, como o nome da tarefa, para criar uma segunda tarefa agendada.

Métodos de injeção

Tipo de Injeção

Descrição

Se o arquivo a ser injetado for uma DLL ou se os sinalizadores de injeção forem menores que 0x3

a carga útil final será executada no mesmo processo, portanto, a carga útil da DLL será mapeada na DLL vazia.

Se a carga útil final não for um arquivo .NET/CLR, os sinalizadores de injeção 0x20 serão falsos e 0x80 serão verdadeiros

Oculta a carga útil do rshell em um PE tinystub fictício usando uma transação NTFS revertida. Em seguida, ele mapeia esse PE oculto em um processo suspenso(FIXED), no qual o módulo ESWR sequestra o contexto da thread principal para executar o código rshell.

Se a carga útil final não for um arquivo.NET/CLR, os sinalizadores de injeção 0x20 e 0x80 serão falsos

O módulo FIXED é gravado em disco e criado como um processo suspenso. O módulo ESWR é então usado para acionar a execução da carga útil do rshell no processo FIXED .

Os sinalizadores de injeção 0x100 são definidos como verdadeiros e 0x20 como falsos

Injeta rShell em um executável legítimo do sistema em estado suspenso (por exemplo, MSBuild.exe), localizado por meio da análise do cabeçalho .NET para obter o caminho do CLR. A carga útil é corrigida na memória antes de ser executada por meio de sequestro de contexto de thread e limpa seus próprios cabeçalhos PE.

Os sinalizadores de injeção 0x4 e 0x80 são ambos verdadeiros.

Elimina condicionalmente o módulo FIXED e, em seguida, armazena a carga útil do rshell em um arquivo transacionado revertido(tinystub). Isso é injetado no processo FIXED suspenso por meio de mapeamento de seção. A execução é acionada por meio do sequestro do contexto da thread, seguida opcionalmente pela eliminação do cabeçalho PE.

Os sinalizadores de injeção 0x4 são verdadeiros e 0x80 são falsos.

O HijackLoader inicia um processo suspenso, cria e mapeia uma nova seção de memória diretamente dentro dele e, em seguida, grava o módulo rshell corrigido nessa seção. A execução é acionada pelo sequestro do contexto da thread principal para executar o código rshell.

Os sinalizadores de injeção 0x4 são falsos e 0x10 são verdadeiros.

Executa o Process Hollowing iniciando seu módulo FIXED, limpando sua seção de memória principal e, em seguida, copiando a carga útil. Escreve o cabeçalho "MZ" em duas chamadas separadas. Por fim, injeta o módulo rShell corrigido, modifica o PEB e, opcionalmente, apaga o cabeçalho PE da carga útil.

O tipo de injeção é definido como 4

Injeta o módulo rshell e a carga útil principal via mapeamento de seção. Uma seção é criada e preenchida localmente com o rshell e a carga útil corrigidos e, em seguida, mapeada em um processo de destino suspenso (um binário nativo do sistema ou um módulo CUSTOMINJECT ). A execução é acionada pelo sequestro do contexto da thread principal para apontar para o ponto de entrada do rshell.

Conclusão

Os usuários nas regiões LATAM são cada vez mais alvos de e-mails que se passam por entidades do governo ou judiciais, com temas que muitas vezes criam um senso de urgência. O X-Force observa campanhas que envolvem rotineiramente um link incorporado ou anexos ZIP que levam as vítimas a downloaders maliciosos. Entre agosto e outubro de 2025, o X-Force observou vários e-mails direcionados a usuários provavelmente residentes na Colômbia, com e-mails que imitavam o gabinete do procurador-geral da Colômbia com downloads de documentos oficiais. O Hijackloader é um malware modular com mecanismos de evasão e persistência, entregue aos usuários principalmente como um arquivo ZIP ou RAR. Os arquivos contêm uma DLL mal-intencionada que é carregada lateralmente e usada para entregar cargas úteis adicionais. Esses e-mails, provavelmente parte de uma única campanha, são significativos pelo fato de os agentes utilizarem o Hijackloader para entregar o PureHVNC RAT, uma combinação não observada anteriormente pelo X-Force.

Recomendações

  • Ative a exibição de extensões de arquivo.
  • Analise a necessidade operacional de permitir o tráfego de/para domínios DuckDNS.
  • Tenha cuidado ao abrir anexos de e-mail e clicar em links anexados de fontes não confiáveis ou desconhecidas.
  • Procure processos, tráfego de rede e IoCs detalhados neste relatório.
  • Instale, atualize e configure software de segurança de endpoint.
  • Monitore as regras de endpoint

Indicadores de comprometimento

Indicador

Tipo de indicador

Contexto

troquelesmyj[@]gmail.com

E-mail

E-mail do remetente

nuevos777[.]duckdns[.]org

Domínio

Domínio C2

7octubredc[.]duckdns[.]org

Domínio

Domínio C2

dckis13[.]duckdns[.]org

Domínio

Domínio C2

dckis7[.]duckdns[.]org

Domínio

Domínio C2

enviopago[.]mysynology[.]net

Domínio

Domínio C2

maximo26[.]duckdns[.]org

Domínio

Domínio C2

sofiavergara[.]duckdns[.]org

Domínio

Domínio C2

hxxps[:]//drive[.]google[.]com
/file/d/1haApB_GMwZb83nw1
YPdIDTLMtksRjkh/view?pli=1

URL

Host SVG

hxxps[:]//drive[.]google[.]com/
file/d/1wzunPhL33jq_ZQug6k0
3hgxi4Eu57VfN/view?usp=sharing

URL

Host SVG

e7120d45ee357f30cb602c0d93
ed8d366f4b11c251c2a3cd4753c5
508c3b15e5

SHA256

ZIP

7e64102405459192813541448c8
fbadc481997a2065f26c848f1e35
94ca404c9

SHA256

RAR

14becb3a9663128543e1868d09
611bd30a2b64c655dfb407a727a
7f2d0fb8b7e

SHA256

Hijackloader

57c49cff3e71bc75641c78a5a72d
8509007a18032510f607c042053
c9d280511

SHA256

Hijackloader

7c3d9ad3f1bd890e3552dc6709
3e161395d4e1fab79ec745220af1
e19a279722

SHA256

Hijackloader

ce42377d3d26853fd1718f69341
c0631208138490decc8e71a5622
df5e9e1f59

SHA256

Hijackloader

a0e4979b4e4a706286438d48f
0e21b0d92cc7bd40c1c3ea5b98
72089aaec0124

SHA256

Hijackloader

6d93a486e077858b75eb814e
9a7bda181189d5833adce7cec7
5775cfda03f514

SHA256

Hijackloader

bdca9849d7263d508b7ed4db
bf86bd628932b117b45933cb28
a7e78171d05cdd

SHA256

Hijackloader

1ae61edf35127264d329b7c0e2
bddb7077e34cc5f9417de86ab
6d2d65bad4b4f

SHA256

Hijackloader

2ec31a8a36d73fa8354a7ac0c
39506dbe12638a0dc1b900f5
7620b8d53ae987f

SHA256

Hijackloader

776bbaa44c7788e0ccd5945
d583de9473b6246c4490669
2cb0a52e6329cb213a

SHA256

Hijackloader

9e9997b54da0c633ffcf0a4fb
94e67b482cf7a89522d1b254
778d0c6c22c70ee

SHA256

Hijackloader

b2f733b67f1ef06d9e5ce76d3
cc848f6e7e3ec2d0c363c76d
5175c6cf85f979b

SHA256

Hijackloader

c93e70d20ba2948a6a8a013
df68e5c4d14d59e5f549417d
1a76833bd1c8efd22

SHA256

Hijackloader

d550a2a327394148c0c3d05
df2fe0156783fc313b4038e45
4f9aa2cb2f0f2090

SHA256

Hijackloader

e668ca17fcdfa818aac35f1206
4d10a0288d7d9c6b688966b
695125b760567d6

SHA256

Hijackloader

fe6d0ee45a70359008b2916
e5116c411a955978b5694cc4
57683ab7b26590e47

SHA256

Hijackloader

977f2f18ff13c93406c5702f83
c04a9412760e02028aefc7c1c
b7d6f2797a9b5

SHA256

Hijackloader

768ca38878c5bb15650343ce
49292315a9834eaf62fad1442
2d52510c3787228

SHA256

Hijackloader

47245b7d2d8cb6b92308deb
80399e0273193d5bca39da8
5a6b2a87a109d18d85

SHA256

Hijackloader

4484b0ac51536890301a0e6
573b962e069e31abc4c0c6f0
f6fc1bf66bf588a93

SHA256

Hijackloader

0113d9f3d93069a29458b3b4
c33610aae03961014df60a9e8
59f3104086d886a

SHA256

Hijackloader

22d474e729d600dcd84ce139
f6208ce3e3390693afa7b52b0
615174fca6d0fe2

SHA256

Hijackloader

2cbfc482e27a2240a48d2fb6f
6f740ff0f08598f83ae643a507
c6f12a865dc28

SHA256

Hijackloader

96ee786c5b6167c0f0f770efba
ce25e97d61e127ef7f58a879b6c
f4b57e202c3

SHA256

Hijackloader

33d0c63777882c9ec514be06
2612a56fdb1f291fcb6676c494
80d3cd4501c508

SHA256

PureHVNC

afecefa6d9bd1e6d1c9214420
9eda320e1fe0f196ffa8e8bc114
e7d3a25503f6

SHA256

PureHVNC

85641c8fb94e8e4c5202152dc
bb2bb26646529290d984988
ecb72e18d63c9bc5

SHA256

PureHVNC

1bf3a1cf9bc7eded0b8994d44
cf2b801bf12bc72dc23fb337dd
d3a64ac235782

SHA256

PureHVNC

O IBM X-Force Premier Threat Intelligence agora está integrado ao OpenCTI da Filigran, fornecendo inteligência de ameaças praticável sobre essa atividade de ameaças e muito mais. Acesse insights sobre agentes da ameaça, malware e riscos dos setores. Instale o X-Force OpenCTI Connector para aprimorar a detecção e a resposta, fortalecendo sua cibersegurança com a experiência do IBM X-Force. Obtenha hoje mesmo uma avaliação de 30 dias do X-Force Premier Threat Intelligence!

Boletim informativo Think

Sua equipe apanharia o próximo dia zero a tempo?

Junte-se aos líderes de segurança que confiam no boletim informativo Think para receber notícias selecionadas sobre IA, cibersegurança, dados e automação. Aprenda rápido com tutoriais e explicações de especialistas, entregues diretamente em sua caixa de entrada. Consulte a Declaração de privacidade da IBM.

Sua assinatura será entregue em inglês. Você pode encontrar um link para cancelar a assinatura em todos os boletins informativos. Você pode gerenciar suas assinaturas ou cancelar a assinatura aqui. Consulte nossa Declaração de privacidade da IBM para obter mais informações.

https://www.ibm.com/br-pt/privacy
Soluções relacionadas
Serviços de gerenciamento de ameaças

Preveja, previna e responda às ameaças modernas aumentando a resiliência dos negócios.

 

 Saiba mais sobre os serviços de gerenciamento de ameaças
Soluções de detecção e resposta a ameaças

Use as soluções de detecção e resposta a ameaças da IBM para fortalecer sua segurança e acelerar a detecção de ameaças.

 Explore as soluções de detecção de ameaças
Soluções para defesa contra ameaças móveis (MTD)

Proteja seu ambiente móvel com as soluções abrangentes de defesa contra ameaças móveis do IBM MaaS360.

 Conheça as soluções de defesa contra ameaças móveis
Dê o próximo passo

Tenha soluções abrangentes de gerenciamento de ameaças, protegendo habilmente a sua empresa contra os ataques cibernéticos.

 Saiba mais sobre os serviços de gerenciamento de ameaças Agende um briefing centrado em ameaças