Sicherheit

X-Force-Bedrohungsanalysebericht: LATAM an der Bereitstellung von PureHVNC interessiert

Veröffentlicht 28. Oktober 2025
Seitenansicht der Hände beim Tippen auf einer Laptop-Tastatur in einem blau beleuchteten Raum

Autoren

Melissa Frydrych-Dean

Threat Hunt Researcher

IBM

Raymond Joseph Alfonso

Malware Reverse Engineer

IBM X-Force

Zwischen August und Oktober 2025 beobachtete IBM X-Force mehrere E-Mails, die sich vermutlich an kolumbianische, spanischsprachige Personen richteten und deren Inhalt mit der Generalstaatsanwaltschaft von Kolumbien in Verbindung stand. Die E-Mails verleiten den Benutzer dazu, ein „offizielles Dokument“ aus dem Justizinformationssystem herunterzuladen, wodurch die Infektionskette beginnt, bei der eine Hijackloader-Programmdatei ausgeführt wird, die zum PurehVNC Remote-Zugriff-Trojan (RAT) führt.

Bedrohungsart

  • Phishing

Hintergrund

Zwischen August und Oktober 2025 beobachtete X-Force mehrere E-Mails, die sich an Benutzer mit Wohnsitz in Kolumbien richteten. Die E-Mails imitierten die Generalstaatsanwaltschaft von Kolumbien und enthielten offizielle Dokumente zum Download. Die E-Mails zielen darauf ab, mithilfe von Hijackloader mehrere Payloads zu übermitteln, darunter PureHVNC. Hijackloader selbst wurde nicht häufig in Kampagnen verwendet, die sich an Nutzer in Lateinamerika (LATAM) richteten, und zuvor gab es keine beobachtbaren Kampagnen von X-Force, bei denen LATAM-Nutzer gezielt angesprochen wurden, um PureHVNC bereitzustellen. Im Jahr 2024 gibt es Hinweise darauf, dass Hijackloader zum Laden von RemcosRAT in Kampagnen verwendet wird, die auf CrowdStrike-Kunden abzielen, wahrscheinlich aus LATAM-Ländern (basierend auf den spanischen Dateinamen und Anweisungen). Die Auslieferung von PureHVNC RAT ist interessant, da X-Force bisher keine Kampagnen beobachtet hat, bei der PureHVNC an spanischsprachige Nutzer ausgeliefert wurde. PureHVNC RAT ist Teil eines Toolsets, das von PureCoder vertrieben wird. Die bösartigen Tools werden im Dark Web in Untergrundforen und auf Telegram zum Verkauf angeboten.

Analyse

Überblick

Den Nutzern wird eine E-Mail präsentiert, die vorgibt, ein offizielles Schreiben der Generalstaatsanwaltschaft von Kolumbien zu sein. In der E-Mail heißt es, dass eine Klage von einem ehemaligen Mitarbeiter eingereicht wurde und vor den Arbeitsgerichten bearbeitet wird. Der E-Mail ist eine SVG-Datei angehängt, die vom Opfer in Google Drive geöffnet wird. In den meisten Fällen ist die Dokumentenvorschau sichtbar und kann durch Klicken auf die Download-Schaltfläche heruntergeladen werden. In einem Fall wurde dem Opfer die Meldung „Datei konnte nicht in der Vorschau angezeigt werden“ und ein Download-Button angezeigt, der die Datei in Google Drive öffnete. In jedem Fall wird beim Klicken auf eine beliebige Stelle in Google Drive eine ZIP-Archivdatei heruntergeladen, und dem Opfer wird nun eine Seite mit der Meldung „Download abgeschlossen“ angezeigt, die ein Passwort wie „KC4SX87“ enthält. Die ZIP-Datei enthält mehrere zusätzliche Dateien, darunter eine ausführbare Datei, für deren Ausführung der Benutzer ein Passwort benötigt, wenn er darauf klickt. Ein Klick auf die EXE-Datei startet die Infektionskette, bei der Hijackloader verwendet wird, um verschiedene schädliche Nutzlasten, darunter PureHVNC, bereitzustellen.

Screenshot einer Beispiel-E-Mail für diese Phishing-Kampagne
Abbildung 1 Beispiel-E-Mail
Beispiel-Download-Seite
Abbildung 2 Beispiel einer Downloadseite
SVG-Download zur Fälschung der Consulta de Procesos Nacional Unificada
Abbildung 3 SVG-Download
Download-Vorschau für SVG-Dokumente für das gefälschte Portal de Consulta Ciudadana
Abbildung 4: Vorschau zum Herunterladen von SVG-Dokumenten
SVG-Download zur Spoofing des Portals de Consulta Ciudadana
Abbildung 5 SVG-Download
Screenshot des abgeschlossenen Downloads und Passwort
Abbildung 6: Download abgeschlossen und Passwort
Inhalt des ZIP-Archivs
Abbildung 7 Inhalt des ZIP-Archivs
Passworteingabe für EXE-Datei
Abbildung 8 Passworteingabe für EXE-Datei

Beispiel für eine Infektionskette bei PureHVNC

  • 02 BOLETA FISCAL.exe (javaw.exe) → JLI.dll → MSTH7EN.DLL → Sumhand.zam → Plagkeg.zk → PureHVNC → sofiavergara[.]duckdns[.]org

Malware stage 1: DLL Side-Loading

Hijackloader verwendet eine Technik namens DLL-Side-Loading, die die Suchreihenfolge von Windows ausnutzt, um die benötigten Bibliotheken zu finden und eine bösartige DLL auszuführen. Hijackloader verwendet eine legitime javaw.exe-Datei, die mit einem Namen zum Thema Justiz umbenannt wurde (02 BOLETA FISCAL.exe). Da eine der Abhängigkeiten von javaw.exe die JLI.dll ist, platziert Hijackloader eine modifizierte Version von JLI.dll im selben Verzeichnis. Wenn die umbenannte javaw.exe gestartet wird, lädt das Betriebssystem auch die bösartige DLL aus dem lokalen Verzeichnis.

Die Hauptfunktion der bösartigen Datei JLI.dll besteht darin, die schädliche Nutzlast der zweiten Stufe, MSTH7EN.dll, zu laden. Dies geschieht durch den Aufruf der LoadLibraryW() API, die MSTH7EN.dll lädt in den Adressraum des Prozesses. Der API-Aufruf gibt die Basisadresse des neu geladenen DLL-Images zurück. Diese Adresse wird dann zu einem bestimmten Offset hinzugefügt, um den Einstiegspunkt des bösartigen Codes in MSTH7EN.dll zu berechnen.

if ( v25 )
{
  *v25 += v25;
  *(v25 - 117) += v26;
  v27 = v42;
  v28 = *v26;
  do
  {
      ++v26;
      *v27++ = v28;
      v28 = *v26;
  }
  while ( *v26 );
  *v27 = 0;
  LibraryA = LoadLibraryA(v42); //Load MSTH7EN.DLL
  if ( LibraryA )
    LOBYTE(LibraryA) = ((LibraryA + 31934))(); //Image base of MSTH7EN.dll +
31934 (malicious code offset)
  }

Malware-Phase 2: Ladephase

Die schädliche Nutzlast der zweiten Stufe beginnt mit der Initialisierung. Um Erkennung zu vermeiden, lädt und löst es dynamisch alle notwendigen Bibliotheken und APIs auf. Anschließend wird Verify, dass das aktuelle Arbeitsverzeichnis mit dem Speicherort des Hijackloaders übereinstimmt, um sicherzustellen, dass die schädliche Nutzlast der dritten Stufe korrekt referenziert und geladen werden kann.

Die Payload der dritten Stufe enthält eine verschlüsselte Malware-Konfiguration mit den folgenden Komponenten:

  • Schlüssel zur Entschlüsselung der Konfiguration
  • Größe der verschlüsselten Konfiguration
  • Die verschlüsselten Konfigurationsdaten

Nach der Entschlüsselung enthält die Malware-Konfiguration Informationen wie die folgenden:

  • Der Name der DLL, auf der die DLL-Aushöhlung ausgeführt werden soll
  • Die Größe des Shellcodes für DLL-Hollowing
  • Der Offset des bösartigen Codes im Shellcode
  • Hashes von Prozessnamen, die, wenn sie gefunden werden, die Ausführung der Malware verzögern
  • Die ersten vier Byte des Shellcodes, die zur Validierung verwendet werden
  • Eine Suchzeichenfolge, mit der der Anfang des Shellcodes gefunden wird
Screenshot der verschlüsselten Malware-Konfiguration
Abbildung 9 Verschlüsselte Malware-Konfiguration
Screenshot der Konfiguration der entschlüsselten Malware
Abbildung 10: Entschlüsselte Malware-Konfiguration

Der Shellcode wird dann in vssapi.dll geladen, Dies ist die in der Konfiguration der Malware angegebene DLL. Dies geschieht, indem VirtualProtect() aufgerufen wird, um den Speicherschutz des .text-Abschnitts der DLL auf PAGE_EXECUTE_READWRITE zu ändern. Schließlich wird der Shellcode an diese schreibbare Adresse kopiert und der Ausführungsfluss darauf übertragen.

Der Shellcode fungiert als Loader, hasht aber zunächst laufende Prozessnamen im System und vergleicht sie mit den in der Malware-Konfiguration angegebenen Werten. Wenn eine Übereinstimmung gefunden wird, verwendet die Malware die NtDelayExecution () -API, um ihre eigene Ausführung zu stoppen.

Als Nächstes liest es den Inhalt von Plagkeg.zk. Der Inhalt dieser Datei ist eine weitere verschlüsselte Malware-Konfiguration und die Module von HijackLoader. Die Daten werden in mehrere Chunks aufgeteilt, wobei der erste Chunk die folgenden Informationen enthält:

  • Die Größe der verschlüsselten Daten
  • Marker („IDAT“)
  • Einen Wert (0xC6A579EA), der zur Überprüfung der Startbytes des Shellcodes verwendet wird
  • Den Schlüssel zur Entschlüsselung der Daten

Die nachfolgenden Chunks folgen dieser Struktur:

  • Die Größe des Shellcode-Abschnitts
  • Marker („IDAT“)
  • Die verschlüsselten Bytes

Um diese Chunks zusammenzusetzen, durchläuft HijackLoader die verschlüsselten Daten und sucht nach dem Muster"????IDAT", wobei die Fragezeichen als Platzhalter dienen. Sobald eine Übereinstimmung gefunden wurde, wird geprüft, ob die vier Byte, die unmittelbar auf das Muster folgen, 0xC6A579EA entsprechen. Dies bestätigt, dass der erste Chunk gefunden wurde, was wichtig ist, da er die Gesamtgröße des Shellcodes und den Entschlüsselungsschlüssel enthält. Wenn der Wert übereinstimmt, speichert HijackLoader die Shellcode-Bytes in einem Puffer. Der Prozess wird für alle folgenden Chunks wiederholt, wobei deren Shellcode-Bytes demselben Puffer hinzugefügt werden, bis keine weiteren passenden Muster gefunden werden.

Sobald dies erledigt ist, wird der Puffer mit dem verschlüsselten Shellcode mit einer XOR-Chiffre entschlüsselt und dann mit dem LZNT1-Algorithmus dekomprimiert. Das Ergebnis ist eine Struktur, die verschiedene Informationen enthält, wie die endgültige schädliche Nutzlast, die Modulstruktur usw.

Malware-Phase 3: ti64 - Hauptmodul

Die Funktionalität von HijackLoader ist in Module unterteilt. Einige enthalten ausführbaren Code, andere sind lediglich Informationen, die zu Referenzzwecken dienen. Ein Beispiel dafür ist das COPYLIST-Modul , das die Liste der Dateinamen enthält, die mit dieser Variante von HijackLoader verbunden sind. Laut dem Bericht von Trellix unterstützen einige Varianten von HijackLoader bis zu 40 Module, aber die für diesen Bericht analysierte Stichprobe unterstützt nur 35. Nicht alle Module werden ausgeführt, und ihre Verwendung hängt von in der Malware-Konfiguration festgelegten Flags ab.

In der folgenden Tabelle sind die Namen der einzelnen Module und ihr Zweck zusammengefasst:

HijackLoader durchläuft diese Strukturen und wandelt jeden Modulnamen mithilfe eines benutzerdefinierten Algorithmus in einen Hash um. Sobald die Übereinstimmung für das Modul „ti64“ gefunden wurde, wird ein Zeiger auf den Code des Moduls berechnet, indem der Offset der Daten zum Anfang des Moduldatenarrays addiert wird. Dieser Zeiger wird dann zurückgegeben und als Referenz auf den Shellcode von „ti64“ verwendet.

Anschließend führt die Malware eine weitere DLL-Hollowing-Operation durch, um den Shellcode des „ti64“-Moduls einzuschleusen. Das Ziel ist eine DLL, die in der zuvor entschlüsselten Konfiguration angegeben wurde, in diesem Fall pla.dll.

Modul Name

Hash

Zweck

AVDATA

0x78B783CA

Enthält Hashes von Prozessen im Zusammenhang mit Sicherheitsprodukten

ESAL
ESAL64

0x757C9405
0x6364A15B

Bereinigt die In-Memory-Daten des Hijackloaders und führt die endgültige Payload aus

ESLDR
ESLDR64

0xE7794E15
0x4FA01AC5

Wird zum Einschleusen und Ausführen von Shellcode im Zusammenhang mit HijackLoader verwendet

ESWR
ESWR64

0x93EB1CB1
0xAE2762

Löscht die Shellcode-Daten und führt das rshell-Modul aus.

FIXED

0x699D0C82

Legitime PE-Datei, die zum Einfügen von Code in den Prozess verwendet wird

LauncherLdr64

0xF4F141C2

Entschlüsselt Konfigurationsdateien, die auf der Festplatte gespeichert sind

modCreateProcess
modCreateProcess64

0x696F778F
0x9B0B7E4B

Verwendet zum Ausführen einer Datei

modTask
modTask64

0x3115355E
0x9BFAF2D3

Erzeugt Persistenz mithilfe einer geplanten Aufgabe

modUAC
modUAC64

0xC64EBFDA
0xC97832F9

Wird für die Eskalation von Berechtigungen verwendet

modWriteFile
modWriteFile64

0xFCE82FC1
0x90415081

Verwaltet die Erstellung von Dateien auf der Festplatte

rShell

rshell64

0x74984889
0x7B37E907

Führt die endgültige schädliche Nutzlast aus

ti

ti64

0x3EE477F1
0x2AB77DB8

Dient als Haupt-Shellcode, der alle anderen Module ausführt

TinyCallProxy
TinyCallProxy64

0x455CBBC3
0x5515DCEA

Fungiert als Proxy zur Ausführung von API-Aufrufen

tinystub
tinystub64

0x4EACE798
0x6E874E5A

Enthält eine Dummy-Datei, die zum Patchen während des finalen Payload-Ausführungsprozesses verwendet wird.

tinyutilitymodule.dll
tinyutilitymodule64.dll

0xA1D724FC
0xA0077EA3

Überschreibt die PE-Header einer angegebenen Datei mit Null-Byte

SM

0xD8222145

Enthält den Namen der System-DLL, die beim Call-Stack-Spoofing oder Shellcode-Injection verwendet wird.

COPYLIST

0x1AE7700A

Eine Liste von Dateinamen zum Kopieren oder Löschen

CUSTOMINJECT

0x6703F815

Enthält eine legitime ausführbare Datei, die zum Einschleusen von Code in den Prozessspeicher verwendet wird. Der Prozess wird in einem benutzerdefinierten Pfad erstellt, der vom CUSTOMINJECTPATH-Modul festgelegt ist

CUSTOMINJECTPATH

0x192A4446

Enthält einen Dateipfad, der zur Erstellung der legitimen Datei im CUSTOMINJECT-Modul verwendet wird

X64L

0xCB5B9F3F

Modul, das in einen Prozess eingefügt wird, um als Injection-Proxy zu dienen

WDUACDATA

0x4D75088D

Enthält die Zeichenfolge, die für die Ausführung von Befehlen über cmd verwendet wird

WDDATA

0xB718A6AE

Enthält einen PowerShell-Befehl zum Hinzufügen einer Ausnahme in Windows Defender Antivirus.

PERSDATA

0xA2E0AB5D

Enthält die Konfiguration, die vom modTask-Modul verwendet wird, um geplante Aufgaben zu erstellen

MUTEX

0x1999709F

Enthält den Namen des zu prüfenden mutex.

Berechtigungseskalation

Das modUAC-Modul verwendet, ähnlich wie die anderen Module, TinyCallProxy, um APIs aufzurufen. Wenn das erste DWORD des UACDATA-Moduls 2 ist, verwendet es die „runas“, um seine Berechtigung zu erhöhen. Andernfalls wird die CMSTPLUA COM-Schnittstelle verwendet, um UAC zu umgehen.

Umgehung

Indirekter API-Aufruf

In einigen Varianten verwendet HijackLoader eine Technik namens „Stack-Spoofing“, um den Ursprung von API- und Systemaufrufen zu maskieren. Dies geschieht, indem mithilfe des Basiszeigerregisters (EBP) durch den Stack navigiert wird, wobei der Kette der EBP-Zeiger gefolgt wird, um die Adresse aus jedem Stack zu erhalten. Wenn keine Adresse innerhalb der .text-Datei vorhanden ist Abschnitt der ntdll.dll oder kernelbase.dll, HijackLoader speichert es für später. Dieser Vorgang wird wiederholt, bis das Limit des Stacks erreicht ist oder bis drei aufeinanderfolgende Adressen in diesen Systembibliotheken gefunden werden.

Anschließend wird ein Call-Stack-Spoofing durchgeführt, indem die gespeicherten, legitimen Adressen mit gefälschten überschrieben werden. Jede gefälschte Adresse wird erzeugt, indem ein zufälliger Export aus einer vom SM-Modul (in diesem Fall der dcd9.dll) festgelegten DLL ausgewählt und ein zufälliger Offset hinzugefügt wird, sodass der letzte Zeiger im .text-Abschnitt dieses Moduls landet. Heaven's Gate wird dann verwendet, um den Syscall durchzuführen. Unmittelbar nach Abschluss des Aufrufs werden die ursprünglichen Stack-Adressen wiederhergestellt.

Neuere Varianten verwenden jedoch eine andere Technik. Anstelle von Stack-Spoofing lädt HijackLoader die vom SM-Modul spezifizierte Ziel-DLL über LoadLibraryW(). Anschließend speichert es den Code von einem zufälligen Versatz innerhalb dieser DLL in einem temporären Puffer und ersetzt ihn durch den Shellcode des TinCallProxy64-Moduls, der für den Aufruf der angegebenen API ausgelegt ist. Sobald der Aufruf beendet ist, wird der ursprüngliche, saubere Code wiederhergestellt.

HijackLoader verwendet diese Techniken für eine ausgewählte Anzahl von Funktionen, die wahrscheinlich von Antivirensoftware überwacht werden, wie z. B. ZwProtectVirtualMemory und ZwGetContextThread.

__int64 __fastcall sub_7FF87A86D3B0(
        GlobalContext_0 *a1,
        __int64 hash_of_function,
        __int64 a3,
        __int64 a4,
        __int64 a5,
        __int64 a6,
        __int64 a7)
{
  Indirect_SYSCALL *syscall_struct; // [rsp+40h] [rbp-28h]
  __int64 (__fastcall *pAPIFunc)(__int64, __int64, __int64, __int64, __int64);
// [rsp+48h] [rbp-20h]

  syscall_struct = sub_7FF87A86B470(a1, hash_of_function);
  if ( !syscall_struct )
    return 0xFFFFFFFFLL;
  pAPIFunc = (a1->ntdll_image_base + syscall_struct->api_rva);
  if ( a1->GlobalContext_1 )
    return mw_indirect_api_call(a1->GlobalContext_1, pAPIFunc, a3, a4, a5, a6, a7);
  else
    return pAPIFunc(a3, a4, a5, a6, a7);
}

__int64 __fastcall mw_indirect_api_call(
        GlobalContext_1 *TinyCallProxy64,
        __int64 pAPIFunc,
        __int64 a3,
        __int64 a4,
        __int64 NtClose,
        __int64 a6,
        __int64 a7)
{
  _BYTE *shellcodeAddress; // [rsp+40h] [rbp-58h]
  unsigned int v9; // [rsp+48h] [rbp-50h] BYREF
  int v10; // [rsp+4Ch] [rbp-4Ch] BYREF
  unsigned int v11; // [rsp+50h] [rbp-48h]
  _BYTE *clean_code; // [rsp+58h] [rbp-40h]
  unsigned int v13; // [rsp+60h] [rbp-38h]
  void (__fastcall *FlushInstructionCache)(__int64, _BYTE *, _QWORD); //
[rsp+68h] [rbp-30h]
  unsigned __int64 random_address; // [rsp+70h] [rbp-28h]
  __int64 (__fastcall *pShellcodeAddress)(__int64, unsigned __int64, _QWORD,
__int64, __int64, __int64, __int64, __int64); // [rsp+78h] [rbp-20h]
  void (__fastcall *v17)(__int64, _BYTE *, _QWORD); // [rsp+80h] [rbp-18h]

  v13 = 5;
  v11 = 0;
  shellcodeAddress = mw_pick_random_address(TinyCallProxy64);// d3d9.dll address
  v9 = 0;
  v10 = 0;
  if ( !(TinyCallProxy64->VirtualProtect)(shellcodeAddress,
LODWORD(TinyCallProxy64->shellcode_size), 64LL, &v9) )
    return -1LL;
  clean_code = (TinyCallProxy64->malloc)(LODWORD(TinyCallProxy64->shellcode_size));
  wrapper_memcpy(clean_code, shellcodeAddress, TinyCallProxy64->shellcode_size);
  wrapper_memcpy(shellcodeAddress, TinyCallProxy64->shellcode, TinyCallProxy64->shellcode_size);
  (TinyCallProxy64->VirtualProtect)(shellcodeAddress, LODWORD(TinyCallProxy64->shellcode_size), v9, &v9);
  if ( TinyCallProxy64->FlushInstructionCache )
  {
    FlushInstructionCache = TinyCallProxy64->FlushInstructionCache;
    FlushInstructionCache(-1LL, shellcodeAddress, LODWORD(TinyCallProxy64->shellcode_size));
  }
  pShellcodeAddress = shellcodeAddress;
  random_address = mw_pick_random_address(TinyCallProxy64);
  v11 = pShellcodeAddress(pAPIFunc, random_address, v13, a3, a4, a5, a6, a7);
  if ( (TinyCallProxy64->VirtualProtect)(shellcodeAddress, LODWORD(TinyCallProxy64->shellcode_size), 0x40LL, &v10) )
    wrapper_memcpy(shellcodeAddress, clean_code, TinyCallProxy64->shellcode_size);
  (TinyCallProxy64->VirtualProtect)(shellcodeAddress, LODWORD(TinyCallProxy64->shellcode_size), 32LL, &v10);
  if ( clean_code )
    (TinyCallProxy64->free)(clean_code);
  if ( TinyCallProxy64->FlushInstructionCache )
  {
    v17 = TinyCallProxy64->FlushInstructionCache;
    v17(-1LL, shellcodeAddress, LODWORD(TinyCallProxy64->shellcode_size));
  }
  return v11;
}

ANTIVM

Technik

Beschreibung

Zeitbasierte Anti-Debugging-Prüfung

Nutzt eine zeitbasierte Ausweichtechnik, indem die Latenz der CPUID-Anweisung gemessen wird. Es umhüllt den cpuid-Aufruf mit rdtsc-Anweisungen innerhalb einer Schleife. Wenn die Ausführungszeit einen bestimmten Schwellenwert überschreitet, erkennt es das Vorhandensein eines Debuggers oder einer virtuellen Maschine.

Hypervisor-Überprüfung

Führt eine standardmäßige Anti-VM-Prüfung durch, indem die cpuid-Anweisung ausgeführt und das „Hypervisor-Bit“ (Bit 31) im zurückgegebenen ECX-Register überprüft wird. Wenn dieses Bit auf 1 gesetzt ist, zeigt dies das Vorhandensein eines Hypervisors an.

Überprüfung der Lieferanten-ID

Führt eine Anti-VM-Prüfung durch Abfrage des Hypervisor-Informationsblatts (0x40000000) durch. Ein Rückgabewert in EAX, der größer oder gleich 0x40000000 ist, zeigt das Vorhandensein aktiver hypervisor-spezifischer CPUID-Blätter an.

Prüft den gesamten Arbeitsspeicher

Führt eine Anti-Sandbox-Prüfung durch, indem der gesamte physische RAM abgefragt wird. Es ruft NtQuerySystemInformation auf, um den gesamten Speicher in Gigabyte zu berechnen (indem die Byteanzahl um 30 nach rechts verschoben wird), und wird beendet, wenn das Ergebnis unter 4 GB liegt.

Prüft die Anzahl der Prozessoren

Führt eine Anti-Sandbox-Prüfung durch Abfrage der Anzahl der CPU-Kerne durch. Es ruft NtQuerySystemInformation auf, um die NumberOfProcessors zu erhalten, und vergleicht sie mit dem in der Konfiguration des ANTIVM-Moduls angegebenen Wert.

Benutzername-Überprüfung

Vergleicht den Benutzernamen des aktuellen Benutzers mit dem angegebenen Wert im ANTIVM-Modul.

Computer-Namensprüfung

Überprüft, ob der Name des Computers nur aus Zahlen besteht.

Überprüft das aktuelle Arbeitsverzeichnis

Prüft, ob sich der aktuelle Modulpfad auf dem Desktop befindet.

Eine fehlgeschlagene Anti-Virtualisierungsprüfung führt zu einer Prozessbeendigung über einen Aufruf von ZwTerminateProcess().

Entkoppeln von NTDLLs

Die Unhooking-Routine vergleicht den .text- Abschnitt der aktuell geladenen ntdll.dll im Vergleich zu einer sauberen, zugeordneten Kopie. Es sucht nach call (0xE8) und jmp (0xE9) Anweisungen und erkennt einen Hook, wenn sich der Anweisungstyp oder die Zieladresse zwischen den beiden Versionen unterscheidet. Wird ein Hook gefunden, patcht die Malware die im Speicher befindliche ntdll.dll, indem sie die ursprünglichen, sauberen Bytes wiederherstellt.

for ( i = 0; ; ++i )
{
  result = v5[6];
    if ( i >= result )
      break;
    function_rva = *(v7 + 4LL * *(v6 + 2LL * i));
    if ( *(a1->ntdll_image_base + function_rva) != *(a2->clean_ntdll_buffer + function_rva) )// check if the ntdll functions are hooked
                                                // This is done by comparing the first byte of the fuinction.
    {
      if ( check_if_valid_address(a1, a1->ntdll_image_base, function_rva) )
        mw_clean_dll(a1, a2, function_rva, a1->ntdll_image_base, a2->clean_ntdll_buffer);
    }
  }
  return result;
}

Persistenz

Der Persistenzmechanismus von HijackLoader wird ebenfalls durch seine Konfiguration gesteuert. Das Verhalten wird durch eine Kennzeichnung bestimmt:

  • LNK-Shortcut (Flag1): Wenn Flag auf 1 gesetzt ist, erstellt der HijackLoader eine LNK-Datei, die auf seinen eigenen ausführbaren Pfad zeigt. Diese Verknüpfung wird dann in den Startordner des Benutzers verschoben, um die Ausführung beim Anmelden sicherzustellen.
  • Geplante Aufgabe (Flagge 3): Wenn das Flag auf 3 gesetzt ist, wird eine geplante Aufgabe mit dem Modul modTask erstellt.

Zusätzlich zu diesen Flags kann HijackLoader einen weiteren Persistenzmechanismus erstellen, indem er nach einem PERSDATA-Modul sucht. Dieses Modul enthält die notwendigen Konfigurationsdaten, wie zum Beispiel den Aufgabennamen, um eine zweite geplante Aufgabe zu erstellen.

Injektionsmethoden

Art der Injektion

Beschreibung

Wenn die zu injizierende Datei eine DLL ist oder Injektionsflags kleiner als 0x3

die endgültige schädliche Nutzlast wird im selben Prozess ausgeführt, sodass die DLL-Nutzlast im hohlen DLL abgebildet wird.

Wenn die endgültige schädliche Nutzlast keine .NET/CLR-Datei ist, sind Injektionsflags 0x20 falsch und 0x80 wahr

Verbirgt die schädliche rshell-Nutzlast in einem Dummy-Tinystub-PE mit einer zurückgerollten NTFS-Transaktion. Anschließend wird dieser versteckte PE in einen angehaltenen Prozess (FIXED) umgewandelt, in dem das ESWR-Modul den Kontext des Hauptthreads entführt, um den rshell-Code auszuführen.

Wenn die endgültige schädliche Nutzlast keine .NET/CLR-Datei ist, sind die Injektionsflags 0x20 und 0x80 beide falsch.

Das FIXED-Modul wird auf die Festplatte abgelegt und als unterbrochener Prozess erstellt. Das ESWR-Modul wird dann verwendet, um die Ausführung der schädlichen rshell-Nutzlast innerhalb des FIXED-Prozesses auszulösen.

Die Injektionsflags 0x100 sind auf wahr gesetzt und 0x20 ist falsch

Injiziert rshell in eine ausgesetzte legitime System-ausführbare Datei (z. B. MSBuild.exe), die durch Parsen des .NET-Headers nach dem CLR-Pfad ermittelt wurde. Die schädliche Nutzlast wird im Speicher gepatcht, bevor sie über Thread-Kontext-Hijacking ausgeführt wird und ihre eigenen PE-Header löscht.

Injektionsflags 0x4 und 0x80 sind beide wahr.

Lässt das FIXED-Modul bedingt fallen und speichert dann die schädliche rshell-Nutzlast in einer rückgängig gemachten transacted-Datei(tinystub). Diese werden über eine Abschnittszuordnung in den angehaltenen FIXED-Prozess eingefügt. Die Ausführung wird durch Thread-Kontext-Hijacking ausgelöst, gefolgt von einem optionalen Löschen des PE-Headers.

Injection-Flags 0x4 ist wahr und 0x80 ist falsch.

HijackLoader startet einen unterbrochenen Prozess, erstellt und ordnet direkt darin einen neuen Speicherabschnitt zu und schreibt dann das gepatchte rshell-Modul in diesen Abschnitt. Die Ausführung wird ausgelöst, indem der Kontext des Hauptthreads gekapert wird, um den rshell-Code auszuführen.

Injektionsflag 0x4 ist falsch und 0x10 ist wahr.

Führt Process Hollowing durch, indem das FIXED-Modul gestartet, der Hauptspeicherabschnitt gelöscht und dann die schädliche Nutzlast kopiert wird. Der Header „MZ“ wird in zwei separaten Aufrufen geschrieben. Schließlich wird das gepatchte rshell-Modul eingeschleust, das PEB modifiziert und optional der PE-Header der schädlichen Nutzlast gelöscht.

Der Injektionstyp ist auf 4 festgelegt

Injiziert die hauptsächliche schädliche Nutzlast und das rshell-Modul über Sektionsmapping ein. Ein Abschnitt wird erstellt und lokal mit der gepatchten rshell und der schädliche Nutzlast gefüllt und dann in einen angehaltenen Zielprozess (eine systemeigene Binärdatei oder ein CUSTOMINJECT-Modul ) eingefügt. Die Ausführung wird ausgelöst, indem der Kontext des Haupt-Threads so gekapert wird, dass er auf den rshell-Einstiegspunkt zeigt.

Zusammenfassung

Benutzer in den LATAM-Regionen sind zunehmend Ziele von E-Mails, die sich als Regierung oder Justizbehörden ausgeben, mit Themen, die oft ein Gefühl der Dringlichkeit erzeugen. X-Force beobachtet Kampagnen, die routinemäßig einen eingebetteten Link oder ZIP-Anhänge beinhalten, die Opfer zu bösartigen Downloadern führen. Zwischen August und Oktober 2025 beobachtete X-Force mehrere E-Mails, die sich an Benutzer mit Wohnsitz in Kolumbien richteten. Die E-Mails imitierten die Generalstaatsanwaltschaft von Kolumbien und enthielten offizielle Dokumente zum Download. Hijackloader ist eine modulare Malware mit Ausweich- und Persistenzmechanismen, die den Benutzern hauptsächlich als ZIP- oder RAR-Archivdatei ausgeliefert wird. Die Archive enthalten eine bösartige DLL-Datei, die per Sideloading eingeschleust wird und zur Auslieferung zusätzlicher Nutzdaten dient. Diese E-Mails, wahrscheinlich Teil einer einzigen Kampagne, sind insofern bedeutsam, als die Akteure den Hijackloader nutzen, um PureHVNC RAT zu liefern – eine Kombination, die X-Force bisher nicht beobachtet hat.

Empfehlungen

  • Aktivieren Sie die Anzeige von Dateierweiterungen.
  • Prüfen Sie, ob es aus betrieblicher Sicht notwendig ist, Datenverkehr zu und von DuckDNS-Domains zuzulassen.
  • Seien Sie vorsichtig, wenn Sie E-Mail-Anhänge öffnen und auf eingebettete Links aus nicht vertrauenswürdigen oder unbekannten Quellen klicken.
  • Suchen Sie nach Prozessen, Netzwerkverkehr und IoCs, die in diesem Bericht aufgeführt sind.
  • Installieren, aktualisieren und konfigurieren Sie Endpoint-Sicherheitssoftware.
  • Überwachen Sie die Endgerätregeln.

Indikatoren für Kompromittierung

Indikator

Art des Indikators

Kontext

troquelesmyj[@]gmail.com

E-Mail

Absender E-Mail

nuevos777[.]duckdns[.]org

Domäne

C2-Domäne

7octubredc[.]duckdns[.]org

Domäne

C2-Domäne

dckis13[.]duckdns[.]org

Domäne

C2-Domäne

dckis7[.]duckdns[.]org

Domäne

C2-Domäne

enviopago[.]mysynology[.]net

Domäne

C2-Domäne

maximo26[.]duckdns[.]org

Domäne

C2-Domäne

sofiavergara[.]duckdns[.]org

Domäne

C2-Domäne

hxxps[:]//drive[.]Google[.]COM
/file/d/1haApB_GMwZb83nw1
YPdIDTLMtksRjkh/view?pli=1

URL

SVG-Host

hxxps[:]//drive[.]google[.]com/
file/d/1wzunPhL33jq_ZQug6k0
3hgxi4Eu57VfN/view?usp=sharing

URL

SVG-Host

e7120d45ee357f30cb602c0d93
ed8d366f4b11c251c2a3cd4753c5
508c3b15e5

SHA256

ZIP

7e64102405459192813541448c8
fbadc481997a2065f26c848f1e35
94ca404c9

SHA256

RAR

14becb3a9663128543e1868d09
611bd30a2b64c655dfb407a727a
7f2d0fb8b7e

SHA256

Hijackloader

57c49cff3e71bc75641c78a5a72d
8509007a18032510f607c042053
c9d280511

SHA256

Hijackloader

7c3d9ad3f1bd890e3552dc6709
3e161395d4e1fab79ec745220af1
e19a279722

SHA256

Hijackloader

ce42377d3d26853fd1718f69341
c0631208138490decc8e71a5622
df5e9e1f59

SHA256

Hijackloader

a0e4979b4e4a706286438d48f
0e21b0d92cc7bd40c1c3ea5b98
72089aaec0124

SHA256

Hijackloader

6d93a486e077858b75eb814e
9a7bda181189d5833adce7cec7
5775cfda03f514

SHA256

Hijackloader

bdca9849d7263d508b7ed4db
bf86bd628932b117b45933cb28
a7e78171d05cdd

SHA256

Hijackloader

1ae61edf35127264d329b7c0e2
bddb7077e34cc5f9417de86ab
6d2d65bad4b4f

SHA256

Hijackloader

2ec31a8a36d73fa8354a7ac0c
39506dbe12638a0dc1b900f5
7620b8d53ae987f

SHA256

Hijackloader

776bbaa44c7788e0ccd5945
d583de9473b6246c4490669
2cb0a52e6329cb213a

SHA256

Hijackloader

9e9997b54da0c633ffcf0a4fb
94e67b482cf7a89522d1b254
778d0c6c22c70ee

SHA256

Hijackloader

b2f733b67f1ef06d9e5ce76d3
cc848f6e7e3ec2d0c363c76d
5175c6cf85f979b

SHA256

Hijackloader

c93e70d20ba2948a6a8a013
df68e5c4d14d59e5f549417d
1a76833bd1c8efd22

SHA256

Hijackloader

d550a2a327394148c0c3d05
df2fe0156783fc313b4038e45
4f9aa2cb2f0f2090

SHA256

Hijackloader

e668ca17fcdfa818aac35f1206
4d10a0288d7d9c6b688966b
695125b760567d6

SHA256

Hijackloader

fe6d0ee45a70359008b2916
e5116c411a955978b5694cc4
57683ab7b26590e47

SHA256

Hijackloader

977f2f18ff13c93406c5702f83
c04a9412760e02028aefc7c1c
b7d6f2797a9b5

SHA256

Hijackloader

768ca38878c5bb15650343ce
49292315a9834eaf62fad1442
2d52510c3787228

SHA256

Hijackloader

47245b7d2d8cb6b92308deb
80399e0273193d5bca39da8
5a6b2a87a109d18d85

SHA256

Hijackloader

4484b0ac51536890301a0e6
573b962e069e31abc4c0c6f0
f6fc1bf66bf588a93

SHA256

Hijackloader

0113d9f3d93069a29458b3b4
c33610aae03961014df60a9e8
59f3104086d886a

SHA256

Hijackloader

22d474e729d600dcd84ce139
f6208ce3e3390693afa7b52b0
615174fca6d0fe2

SHA256

Hijackloader

2cbfc482e27a2240a48d2fb6f
6f740ff0f08598f83ae643a507
c6f12a865dc28

SHA256

Hijackloader

96ee786c5b6167c0f0f770efba
ce25e97d61e127ef7f58a879b6c
f4b57e202c3

SHA256

Hijackloader

33d0c63777882c9ec514be06
2612a56fdb1f291fcb6676c494
80d3cd4501c508

SHA256

PureHVNC

afecefa6d9bd1e6d1c9214420
9eda320e1fe0f196ffa8e8bc114
e7d3a25503f6

SHA256

PureHVNC

85641c8fb94e8e4c5202152dc
bb2bb26646529290d984988
ecb72e18d63c9bc5

SHA256

PureHVNC

1bf3a1cf9bc7eded0b8994d44
cf2b801bf12bc72dc23fb337dd
d3a64ac235782

SHA256

PureHVNC

IBM X-Force Premier Threat-Intelligence ist jetzt in OpenCTI von Filigran integriert und liefert umsetzbar Threat-Intelligence über diese Bedrohungsaktivitäten und mehr. Erhalten Sie Erkenntnisse zu Bedrohungsakteuren, Malware und Branchenrisiken. Installieren Sie den X-Force OpenCTI Connector, um die Erkennung und Reaktion zu verbessern und Ihre Cybersicherheit mit der Expertise von IBM X-Force zu stärken. Erhalten Sie noch heute eine 30-tägige X-Force Premier Threat Intelligence-Studie!

Think-Newsletter

Würde Ihr Team den nächsten Zero-Day rechtzeitig erkennen?

Schließen Sie sich Führungskräften im Bereich Sicherheit an, die von den kuratierten Nachrichten zu KI, Cybersicherheit, Daten und Automatisierung im Think Newsletter profitieren. Lernen Sie schnell von Experten-Tutorials und Erläuterungen, die direkt in Ihren Posteingang geliefert werden. Weitere Informationen finden Sie in der IBM Datenschutzerklärung.

Ihr Abonnement wird auf Englisch geliefert. In jedem Newsletter finden Sie einen Abmeldelink. Hier können Sie Ihre Abonnements verwalten oder sich abmelden. Weitere Informationen finden Sie in unserer IBM Datenschutzerklärung.

https://www.ibm.com/de-de/privacy
Weiterführende Lösungen
Threat Management Services

Prognostizieren, verhindern und reagieren Sie auf moderne Bedrohungen und erhöhen Sie so die Resilienz Ihres Unternehmens.

 

 Mehr über Threat Management Services erfahren
Lösungen für die Bedrohungserkennung und -reaktion

Verwenden Sie IBM Bedrohungserkennungs- und Reaktionslösungen, um Ihre Sicherheit zu stärken und die Bedrohungserkennung zu beschleunigen.

 Lösungen zur Bedrohungserkennung erkunden
Lösungen zur Abwehr von mobilen Sicherheitsbedrohungen (Mobile Threat Defense, MTD)

Schützen Sie Ihre mobile Umgebung mit den umfassenden Lösungen von IBM MaaS360 zur Abwehr von mobilen Sicherheitsbedrohungen.

 Lösungen zur Abwehr von mobilen Sicherheitsbedrohungen kennenlernen
Machen Sie den nächsten Schritt

Profitieren Sie von umfassenden Lösungen für das Bedrohungsmanagement, die Ihr Unternehmen fachkundig vor Cyberangriffen schützen.

 Mehr über Threat Management Services erfahren Bedrohungsorientiertes Briefing buchen