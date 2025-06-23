Claimloader ist eine Familie von Loadern, die sich im Laufe der letzten Jahre erheblich weiterentwickelt haben. Sie enthalten eine verschlüsselte Shellcode-Nutzlast, die zur Laufzeit entschlüsselt und injiziert wird. Unser vorheriger Blog liefert weitere technische Details zu früheren Varianten, die von Hive0154 verwendet wurden.

Bei der ersten Ausführung erstellt Claimloader zunächst ein neues Mutex-Objekt, um sicherzustellen, dass nur eine einzige Instanz von Claimloader läuft. Anschließend verschiebt es sich selbst und die für das DLL-Sideloading verwendete EXE-Datei seiner Prozesse in ein neues Verzeichnis unter einem neuen Namen, zum Beispiel:

C:\ProgramData\AdobeLicensingPlugin\WF_Adobe_licensing_helper.exe

C:\ProgramData\AdobeLicensingPlugin\libjyy.dll

Als nächstes verwendet Claimloader die API SHSetValueA(), um die Persistenz der EXE über einen unten aufgeführten Registrierungsschlüssel herzustellen:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Dadurch wird die EXE-Datei jedes Mal ausgeführt, wenn sich der aktuelle Benutzer am Computer anmeldet. Der Prozess wird mit einem vordefinierten Argument ausgeführt, beispielsweise „Lizenzierung“, mit dem die Hauptfunktionalität von Claimloader aufgerufen wird.

Bei der zweiten Ausführung des Claimloaders mit dem angegebenen Argument beginnt die neueste Variante des Claimloaders mit der Entschlüsselung einer eingebetteten Nutzlast mittels des TripleDES-Algorithmus. Dieser Algorithmus wurde nur in Claimloader-Varianten ab Ende April 2025 beobachtet. Die aktualisierten Varianten verwenden auch XOR-verschlüsselte API-Namen und native APIs LdrLoadDll() und LdrGetProcedureAddress(), um Importe dynamisch aufzulösen.

Nach fünf Sekunden Schlaf weist Claimloader einen neuen ausführbaren Puffer im Speicher zu und kopiert die Shellcode-Nutzlast hinein. Die Malware schläft für weitere 10 Sekunden und ruft dann die API-Funktionen GetDC() und EnumFontsW() auf, mit denen sie die Nutzlast im Speicher ausführt, indem sie ihren Einstiegspunkt als Callback-Funktion übergibt.