O shellcode é então carregado em vssapi.dll, que é a DLL especificada na configuração do malware. Isso é feito chamando o VirtualProtect() para alterar a proteção de memória da seção .text da DLL para PAGE_EXECUTE_READWRITE. Finalmente, o shellcode é copiado para esse endereço gravável e o fluxo de execução é transferido para ele.

O shellcode atua como um carregador, mas primeiro ele cria hashes dos nomes dos processos em execução no sistema e os compara com os valores especificados na configuração do malware. Se uma correspondência for encontrada, o malware usará a API NtDelayExecution() para impedir sua própria execução.

Em seguida, ele lê o conteúdo do Plagkeg.zk. O conteúdo deste arquivo é outra configuração de malware criptografada e módulos do HijackLoader. Os dados são divididos em vários blocos, com a parte inicial contendo as seguintes informações:

O tamanho dos dados criptografados

Marcador ("IDAT")

Um valor (0xC6A579EA) usado para verificar os bytes iniciais do shellcode

A chave para descriptografar os dados

As partes subsequentes seguem esta estrutura:

O tamanho do bloco de shellcode

Marcador ("IDAT")

Os bytes criptografados

Para montar esses blocos, o HijackLoader percorre os dados criptografados em busca do padrão"????IDAT", em que os pontos de interrogação funcionam como curingas. Quando uma correspondência é encontrada, ela verifica se os quatro bytes imediatamente seguintes ao padrão são iguais a 0xC6A579EA. Isso confirma que o bloco inicial foi encontrado, o que é importante porque contém o tamanho total do shellcode e a chave de descriptografia. Se o valor corresponder, o HijackLoader armazena os bytes de shellcode em um buffer. O processo é repetido para todos os blocos subsequentes, com seus bytes de shellcode sendo acrescentados ao mesmo buffer, até que não seja mais encontrado um padrão correspondente.

Uma vez feito isso, o buffer que contém o shellcode criptografado é descriptografado usando uma cifra XOR e, em seguida, descompactado usando o algoritmo LZNT1. O resultado é uma estrutura que contém diversas informações, como a carga útil final, a estrutura do módulo, etc.

Estágio 3 do malware: ti64 - módulo principal

A funcionalidade do HijackLoader é dividida em módulos. Alguns contêm código executável, enquanto outros são simplesmente informações usadas para referência. Um exemplo disso é o módulo COPYLIST,que contém a lista de nomes de arquivos relacionados a essa variante do HijackLoader. De acordo com o relatório da Trellix, algumas variantes do HijackLoader suportam até 40 módulos, mas a amostra analisada para este relatório suporta apenas 35. Nem todos os módulos são executados e seu uso depende de sinalizadores especificados na configuração do malware.

A tabela abaixo resume o nome de cada módulo e sua finalidade:

O HijackLoader percorre essas estruturas e converte o nome de cada módulo em um hash usando um algoritmo personalizado. Quando a correspondência para o módulo "ti64" é encontrada, ele calcula um ponteiro para o código do módulo adicionando o deslocamento dos dados à base da matriz de dados do módulo. Esse ponteiro é então retornado e usado como referência ao shellcode de "ti64".

Em seguida, o malware executa outra operação de esvaziamento de DLL para injetar o shellcode do módulo “ti64”. O alvo é uma DLL especificada na configuração descriptografada anteriormente, que, nesse caso, é pla.dll.