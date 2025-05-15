Eine ähnliche Technik wurde zuvor von der NCC-Gruppeberichtet.

Im November 2022 berichtete LAC über eine Variante von Claimloader. Es ist wahrscheinlich, dass dabei Regierungsorganisationen auf den Philippinen in einer Infektionskette ins Visier genommen werden, die fast genau der Aktivität in den Jahren 2023-2024 entspricht, die in den vorangegangenen Abschnitten detailliert beschrieben wurde. Die Variante speichert ihre Nutzlast als 32-Byte-Blöcke von verschlüsselten Stack-Strings, bevor sie jeden einzelnen entschlüsselt. Außerdem kopiert er die legitime ausführbare Datei und die Claimloader-DLL in ein neues Verzeichnis, bevor er versucht, über die Registrierung oder geplante Aufgaben eine Persistenz herzustellen, was ihn effektiv zu einem Installer zusätzlich zu einem Loader macht.

Nach der Ausführung erstellt die Malware zunächst einen fest codierten Mutex, um sicherzustellen, dass nur eine einzige Instanz von Claimloader ausgeführt wird. Als nächstes wird nach einem bestimmten Kommandozeilenargument gesucht, das beim ersten Durchlauf nicht vorhanden ist. In diesem Fall kopiert Claimloader sowohl die EXE- als auch die DLL-Datei in ein neues, unauffälliges Verzeichnis, oft unter „C:\ProgramData\“, und imitiert damit ein Softwareverzeichnis wie beispielsweise:

C:\ProgramData\NVIDIACorporatione\

C:\ProgramData\NVIDIACorporation\

C:\ProgramData\jxbrowserEdgeBLA\

C:\ProgramData\jxbrowserEdgeIDWT\

C:\ProgramData\JxbrowserChromium\

C:\ProgramData\FastPerfPDF\

C:\ProgramData\NVIDIAFrameViewSDK\

Dieses Verhalten wird von den meisten neueren Claimloader-Beispielen verwendet und kann auch zu erfolglosen Sandbox-Ausführungen führen.

Anschließend stellt die Malware nach dem Login eine dauerhafte Verbindung her, indem sie den Pfad der EXE-Datei mit dem korrekten Befehlszeilenargument in einem neuen Registrierungsschlüssel speichert, wiederum mit einem unaufdringlichen Softwarenamen unter:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run