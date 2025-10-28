Zwischen August und Oktober 2025 beobachtete IBM X-Force mehrere E-Mails, die sich vermutlich an kolumbianische, spanischsprachige Personen richteten und deren Inhalt mit der Generalstaatsanwaltschaft von Kolumbien in Verbindung stand. Die E-Mails verleiten den Benutzer dazu, ein „offizielles Dokument“ aus dem Justizinformationssystem herunterzuladen, wodurch die Infektionskette beginnt, bei der eine Hijackloader-Programmdatei ausgeführt wird, die zum PurehVNC Remote-Zugriff-Trojan (RAT) führt.
Zwischen August und Oktober 2025 beobachtete X-Force mehrere E-Mails, die sich an Benutzer mit Wohnsitz in Kolumbien richteten. Die E-Mails imitierten die Generalstaatsanwaltschaft von Kolumbien und enthielten offizielle Dokumente zum Download. Die E-Mails zielen darauf ab, mithilfe von Hijackloader mehrere Payloads zu übermitteln, darunter PureHVNC. Hijackloader selbst wurde nicht häufig in Kampagnen verwendet, die sich an Nutzer in Lateinamerika (LATAM) richteten, und zuvor gab es keine beobachtbaren Kampagnen von X-Force, bei denen LATAM-Nutzer gezielt angesprochen wurden, um PureHVNC bereitzustellen. Im Jahr 2024 gibt es Hinweise darauf, dass Hijackloader zum Laden von RemcosRAT in Kampagnen verwendet wird, die auf CrowdStrike-Kunden abzielen, wahrscheinlich aus LATAM-Ländern (basierend auf den spanischen Dateinamen und Anweisungen). Die Auslieferung von PureHVNC RAT ist interessant, da X-Force bisher keine Kampagnen beobachtet hat, bei der PureHVNC an spanischsprachige Nutzer ausgeliefert wurde. PureHVNC RAT ist Teil eines Toolsets, das von PureCoder vertrieben wird. Die bösartigen Tools werden im Dark Web in Untergrundforen und auf Telegram zum Verkauf angeboten.
Den Nutzern wird eine E-Mail präsentiert, die vorgibt, ein offizielles Schreiben der Generalstaatsanwaltschaft von Kolumbien zu sein. In der E-Mail heißt es, dass eine Klage von einem ehemaligen Mitarbeiter eingereicht wurde und vor den Arbeitsgerichten bearbeitet wird. Der E-Mail ist eine SVG-Datei angehängt, die vom Opfer in Google Drive geöffnet wird. In den meisten Fällen ist die Dokumentenvorschau sichtbar und kann durch Klicken auf die Download-Schaltfläche heruntergeladen werden. In einem Fall wurde dem Opfer die Meldung „Datei konnte nicht in der Vorschau angezeigt werden“ und ein Download-Button angezeigt, der die Datei in Google Drive öffnete. In jedem Fall wird beim Klicken auf eine beliebige Stelle in Google Drive eine ZIP-Archivdatei heruntergeladen, und dem Opfer wird nun eine Seite mit der Meldung „Download abgeschlossen“ angezeigt, die ein Passwort wie „KC4SX87“ enthält. Die ZIP-Datei enthält mehrere zusätzliche Dateien, darunter eine ausführbare Datei, für deren Ausführung der Benutzer ein Passwort benötigt, wenn er darauf klickt. Ein Klick auf die EXE-Datei startet die Infektionskette, bei der Hijackloader verwendet wird, um verschiedene schädliche Nutzlasten, darunter PureHVNC, bereitzustellen.
Malware stage 1: DLL Side-Loading
Hijackloader verwendet eine Technik namens DLL-Side-Loading, die die Suchreihenfolge von Windows ausnutzt, um die benötigten Bibliotheken zu finden und eine bösartige DLL auszuführen. Hijackloader verwendet eine legitime javaw.exe-Datei, die mit einem Namen zum Thema Justiz umbenannt wurde (02 BOLETA FISCAL.exe). Da eine der Abhängigkeiten von javaw.exe die JLI.dll ist, platziert Hijackloader eine modifizierte Version von JLI.dll im selben Verzeichnis. Wenn die umbenannte javaw.exe gestartet wird, lädt das Betriebssystem auch die bösartige DLL aus dem lokalen Verzeichnis.
Die Hauptfunktion der bösartigen Datei JLI.dll besteht darin, die schädliche Nutzlast der zweiten Stufe, MSTH7EN.dll, zu laden. Dies geschieht durch den Aufruf der LoadLibraryW() API, die MSTH7EN.dll lädt in den Adressraum des Prozesses. Der API-Aufruf gibt die Basisadresse des neu geladenen DLL-Images zurück. Diese Adresse wird dann zu einem bestimmten Offset hinzugefügt, um den Einstiegspunkt des bösartigen Codes in MSTH7EN.dll zu berechnen.
Malware-Phase 2: Ladephase
Die schädliche Nutzlast der zweiten Stufe beginnt mit der Initialisierung. Um Erkennung zu vermeiden, lädt und löst es dynamisch alle notwendigen Bibliotheken und APIs auf. Anschließend wird Verify, dass das aktuelle Arbeitsverzeichnis mit dem Speicherort des Hijackloaders übereinstimmt, um sicherzustellen, dass die schädliche Nutzlast der dritten Stufe korrekt referenziert und geladen werden kann.
Die Payload der dritten Stufe enthält eine verschlüsselte Malware-Konfiguration mit den folgenden Komponenten:
Nach der Entschlüsselung enthält die Malware-Konfiguration Informationen wie die folgenden:
Der Shellcode wird dann in vssapi.dll geladen, Dies ist die in der Konfiguration der Malware angegebene DLL. Dies geschieht, indem VirtualProtect() aufgerufen wird, um den Speicherschutz des .text-Abschnitts der DLL auf PAGE_EXECUTE_READWRITE zu ändern. Schließlich wird der Shellcode an diese schreibbare Adresse kopiert und der Ausführungsfluss darauf übertragen.
Der Shellcode fungiert als Loader, hasht aber zunächst laufende Prozessnamen im System und vergleicht sie mit den in der Malware-Konfiguration angegebenen Werten. Wenn eine Übereinstimmung gefunden wird, verwendet die Malware die NtDelayExecution () -API, um ihre eigene Ausführung zu stoppen.
Als Nächstes liest es den Inhalt von Plagkeg.zk. Der Inhalt dieser Datei ist eine weitere verschlüsselte Malware-Konfiguration und die Module von HijackLoader. Die Daten werden in mehrere Chunks aufgeteilt, wobei der erste Chunk die folgenden Informationen enthält:
Die nachfolgenden Chunks folgen dieser Struktur:
Um diese Chunks zusammenzusetzen, durchläuft HijackLoader die verschlüsselten Daten und sucht nach dem Muster"????IDAT", wobei die Fragezeichen als Platzhalter dienen. Sobald eine Übereinstimmung gefunden wurde, wird geprüft, ob die vier Byte, die unmittelbar auf das Muster folgen, 0xC6A579EA entsprechen. Dies bestätigt, dass der erste Chunk gefunden wurde, was wichtig ist, da er die Gesamtgröße des Shellcodes und den Entschlüsselungsschlüssel enthält. Wenn der Wert übereinstimmt, speichert HijackLoader die Shellcode-Bytes in einem Puffer. Der Prozess wird für alle folgenden Chunks wiederholt, wobei deren Shellcode-Bytes demselben Puffer hinzugefügt werden, bis keine weiteren passenden Muster gefunden werden.
Sobald dies erledigt ist, wird der Puffer mit dem verschlüsselten Shellcode mit einer XOR-Chiffre entschlüsselt und dann mit dem LZNT1-Algorithmus dekomprimiert. Das Ergebnis ist eine Struktur, die verschiedene Informationen enthält, wie die endgültige schädliche Nutzlast, die Modulstruktur usw.
Malware-Phase 3: ti64 - Hauptmodul
Die Funktionalität von HijackLoader ist in Module unterteilt. Einige enthalten ausführbaren Code, andere sind lediglich Informationen, die zu Referenzzwecken dienen. Ein Beispiel dafür ist das COPYLIST-Modul , das die Liste der Dateinamen enthält, die mit dieser Variante von HijackLoader verbunden sind. Laut dem Bericht von Trellix unterstützen einige Varianten von HijackLoader bis zu 40 Module, aber die für diesen Bericht analysierte Stichprobe unterstützt nur 35. Nicht alle Module werden ausgeführt, und ihre Verwendung hängt von in der Malware-Konfiguration festgelegten Flags ab.
In der folgenden Tabelle sind die Namen der einzelnen Module und ihr Zweck zusammengefasst:
HijackLoader durchläuft diese Strukturen und wandelt jeden Modulnamen mithilfe eines benutzerdefinierten Algorithmus in einen Hash um. Sobald die Übereinstimmung für das Modul „ti64“ gefunden wurde, wird ein Zeiger auf den Code des Moduls berechnet, indem der Offset der Daten zum Anfang des Moduldatenarrays addiert wird. Dieser Zeiger wird dann zurückgegeben und als Referenz auf den Shellcode von „ti64“ verwendet.
Anschließend führt die Malware eine weitere DLL-Hollowing-Operation durch, um den Shellcode des „ti64“-Moduls einzuschleusen. Das Ziel ist eine DLL, die in der zuvor entschlüsselten Konfiguration angegeben wurde, in diesem Fall pla.dll.
Modul Name
Hash
Zweck
AVDATA
0x78B783CA
Enthält Hashes von Prozessen im Zusammenhang mit Sicherheitsprodukten
ESAL
0x757C9405
Bereinigt die In-Memory-Daten des Hijackloaders und führt die endgültige Payload aus
ESLDR
0xE7794E15
Wird zum Einschleusen und Ausführen von Shellcode im Zusammenhang mit HijackLoader verwendet
ESWR
0x93EB1CB1
Löscht die Shellcode-Daten und führt das rshell-Modul aus.
FIXED
0x699D0C82
Legitime PE-Datei, die zum Einfügen von Code in den Prozess verwendet wird
LauncherLdr64
0xF4F141C2
Entschlüsselt Konfigurationsdateien, die auf der Festplatte gespeichert sind
modCreateProcess
0x696F778F
Verwendet zum Ausführen einer Datei
modTask
0x3115355E
Erzeugt Persistenz mithilfe einer geplanten Aufgabe
modUAC
0xC64EBFDA
Wird für die Eskalation von Berechtigungen verwendet
modWriteFile
0xFCE82FC1
Verwaltet die Erstellung von Dateien auf der Festplatte
rShell
rshell64
0x74984889
Führt die endgültige schädliche Nutzlast aus
ti
ti64
0x3EE477F1
Dient als Haupt-Shellcode, der alle anderen Module ausführt
TinyCallProxy
0x455CBBC3
Fungiert als Proxy zur Ausführung von API-Aufrufen
tinystub
0x4EACE798
Enthält eine Dummy-Datei, die zum Patchen während des finalen Payload-Ausführungsprozesses verwendet wird.
tinyutilitymodule.dll
0xA1D724FC
Überschreibt die PE-Header einer angegebenen Datei mit Null-Byte
SM
0xD8222145
Enthält den Namen der System-DLL, die beim Call-Stack-Spoofing oder Shellcode-Injection verwendet wird.
COPYLIST
0x1AE7700A
Eine Liste von Dateinamen zum Kopieren oder Löschen
CUSTOMINJECT
0x6703F815
Enthält eine legitime ausführbare Datei, die zum Einschleusen von Code in den Prozessspeicher verwendet wird. Der Prozess wird in einem benutzerdefinierten Pfad erstellt, der vom CUSTOMINJECTPATH-Modul festgelegt ist
CUSTOMINJECTPATH
0x192A4446
Enthält einen Dateipfad, der zur Erstellung der legitimen Datei im CUSTOMINJECT-Modul verwendet wird
X64L
0xCB5B9F3F
Modul, das in einen Prozess eingefügt wird, um als Injection-Proxy zu dienen
WDUACDATA
0x4D75088D
Enthält die Zeichenfolge, die für die Ausführung von Befehlen über cmd verwendet wird
WDDATA
0xB718A6AE
Enthält einen PowerShell-Befehl zum Hinzufügen einer Ausnahme in Windows Defender Antivirus.
PERSDATA
0xA2E0AB5D
Enthält die Konfiguration, die vom modTask-Modul verwendet wird, um geplante Aufgaben zu erstellen
MUTEX
0x1999709F
Enthält den Namen des zu prüfenden mutex.
Das modUAC-Modul verwendet, ähnlich wie die anderen Module, TinyCallProxy, um APIs aufzurufen. Wenn das erste DWORD des UACDATA-Moduls 2 ist, verwendet es die „runas“, um seine Berechtigung zu erhöhen. Andernfalls wird die CMSTPLUA COM-Schnittstelle verwendet, um UAC zu umgehen.
In einigen Varianten verwendet HijackLoader eine Technik namens „Stack-Spoofing“, um den Ursprung von API- und Systemaufrufen zu maskieren. Dies geschieht, indem mithilfe des Basiszeigerregisters (EBP) durch den Stack navigiert wird, wobei der Kette der EBP-Zeiger gefolgt wird, um die Adresse aus jedem Stack zu erhalten. Wenn keine Adresse innerhalb der .text-Datei vorhanden ist Abschnitt der ntdll.dll oder kernelbase.dll, HijackLoader speichert es für später. Dieser Vorgang wird wiederholt, bis das Limit des Stacks erreicht ist oder bis drei aufeinanderfolgende Adressen in diesen Systembibliotheken gefunden werden.
Anschließend wird ein Call-Stack-Spoofing durchgeführt, indem die gespeicherten, legitimen Adressen mit gefälschten überschrieben werden. Jede gefälschte Adresse wird erzeugt, indem ein zufälliger Export aus einer vom SM-Modul (in diesem Fall der dcd9.dll) festgelegten DLL ausgewählt und ein zufälliger Offset hinzugefügt wird, sodass der letzte Zeiger im .text-Abschnitt dieses Moduls landet. Heaven's Gate wird dann verwendet, um den Syscall durchzuführen. Unmittelbar nach Abschluss des Aufrufs werden die ursprünglichen Stack-Adressen wiederhergestellt.
Neuere Varianten verwenden jedoch eine andere Technik. Anstelle von Stack-Spoofing lädt HijackLoader die vom SM-Modul spezifizierte Ziel-DLL über LoadLibraryW(). Anschließend speichert es den Code von einem zufälligen Versatz innerhalb dieser DLL in einem temporären Puffer und ersetzt ihn durch den Shellcode des TinCallProxy64-Moduls, der für den Aufruf der angegebenen API ausgelegt ist. Sobald der Aufruf beendet ist, wird der ursprüngliche, saubere Code wiederhergestellt.
HijackLoader verwendet diese Techniken für eine ausgewählte Anzahl von Funktionen, die wahrscheinlich von Antivirensoftware überwacht werden, wie z. B. ZwProtectVirtualMemory und ZwGetContextThread.
Technik
Beschreibung
Zeitbasierte Anti-Debugging-Prüfung
Nutzt eine zeitbasierte Ausweichtechnik, indem die Latenz der CPUID-Anweisung gemessen wird. Es umhüllt den cpuid-Aufruf mit rdtsc-Anweisungen innerhalb einer Schleife. Wenn die Ausführungszeit einen bestimmten Schwellenwert überschreitet, erkennt es das Vorhandensein eines Debuggers oder einer virtuellen Maschine.
Hypervisor-Überprüfung
Führt eine standardmäßige Anti-VM-Prüfung durch, indem die cpuid-Anweisung ausgeführt und das „Hypervisor-Bit“ (Bit 31) im zurückgegebenen ECX-Register überprüft wird. Wenn dieses Bit auf 1 gesetzt ist, zeigt dies das Vorhandensein eines Hypervisors an.
Überprüfung der Lieferanten-ID
Führt eine Anti-VM-Prüfung durch Abfrage des Hypervisor-Informationsblatts (0x40000000) durch. Ein Rückgabewert in EAX, der größer oder gleich 0x40000000 ist, zeigt das Vorhandensein aktiver hypervisor-spezifischer CPUID-Blätter an.
Prüft den gesamten Arbeitsspeicher
Führt eine Anti-Sandbox-Prüfung durch, indem der gesamte physische RAM abgefragt wird. Es ruft NtQuerySystemInformation auf, um den gesamten Speicher in Gigabyte zu berechnen (indem die Byteanzahl um 30 nach rechts verschoben wird), und wird beendet, wenn das Ergebnis unter 4 GB liegt.
Prüft die Anzahl der Prozessoren
Führt eine Anti-Sandbox-Prüfung durch Abfrage der Anzahl der CPU-Kerne durch. Es ruft NtQuerySystemInformation auf, um die NumberOfProcessors zu erhalten, und vergleicht sie mit dem in der Konfiguration des ANTIVM-Moduls angegebenen Wert.
Benutzername-Überprüfung
Vergleicht den Benutzernamen des aktuellen Benutzers mit dem angegebenen Wert im ANTIVM-Modul.
Computer-Namensprüfung
Überprüft, ob der Name des Computers nur aus Zahlen besteht.
Überprüft das aktuelle Arbeitsverzeichnis
Prüft, ob sich der aktuelle Modulpfad auf dem Desktop befindet.
Eine fehlgeschlagene Anti-Virtualisierungsprüfung führt zu einer Prozessbeendigung über einen Aufruf von ZwTerminateProcess().
Die Unhooking-Routine vergleicht den .text- Abschnitt der aktuell geladenen ntdll.dll im Vergleich zu einer sauberen, zugeordneten Kopie. Es sucht nach call (0xE8) und jmp (0xE9) Anweisungen und erkennt einen Hook, wenn sich der Anweisungstyp oder die Zieladresse zwischen den beiden Versionen unterscheidet. Wird ein Hook gefunden, patcht die Malware die im Speicher befindliche ntdll.dll, indem sie die ursprünglichen, sauberen Bytes wiederherstellt.
Der Persistenzmechanismus von HijackLoader wird ebenfalls durch seine Konfiguration gesteuert. Das Verhalten wird durch eine Kennzeichnung bestimmt:
Zusätzlich zu diesen Flags kann HijackLoader einen weiteren Persistenzmechanismus erstellen, indem er nach einem PERSDATA-Modul sucht. Dieses Modul enthält die notwendigen Konfigurationsdaten, wie zum Beispiel den Aufgabennamen, um eine zweite geplante Aufgabe zu erstellen.
Art der Injektion
Beschreibung
Wenn die zu injizierende Datei eine DLL ist oder Injektionsflags kleiner als 0x3
die endgültige schädliche Nutzlast wird im selben Prozess ausgeführt, sodass die DLL-Nutzlast im hohlen DLL abgebildet wird.
Wenn die endgültige schädliche Nutzlast keine .NET/CLR-Datei ist, sind Injektionsflags 0x20 falsch und 0x80 wahr
Verbirgt die schädliche rshell-Nutzlast in einem Dummy-Tinystub-PE mit einer zurückgerollten NTFS-Transaktion. Anschließend wird dieser versteckte PE in einen angehaltenen Prozess (FIXED) umgewandelt, in dem das ESWR-Modul den Kontext des Hauptthreads entführt, um den rshell-Code auszuführen.
Wenn die endgültige schädliche Nutzlast keine .NET/CLR-Datei ist, sind die Injektionsflags 0x20 und 0x80 beide falsch.
Das FIXED-Modul wird auf die Festplatte abgelegt und als unterbrochener Prozess erstellt. Das ESWR-Modul wird dann verwendet, um die Ausführung der schädlichen rshell-Nutzlast innerhalb des FIXED-Prozesses auszulösen.
Die Injektionsflags 0x100 sind auf wahr gesetzt und 0x20 ist falsch
Injiziert rshell in eine ausgesetzte legitime System-ausführbare Datei (z. B. MSBuild.exe), die durch Parsen des .NET-Headers nach dem CLR-Pfad ermittelt wurde. Die schädliche Nutzlast wird im Speicher gepatcht, bevor sie über Thread-Kontext-Hijacking ausgeführt wird und ihre eigenen PE-Header löscht.
Injektionsflags 0x4 und 0x80 sind beide wahr.
Lässt das FIXED-Modul bedingt fallen und speichert dann die schädliche rshell-Nutzlast in einer rückgängig gemachten transacted-Datei(tinystub). Diese werden über eine Abschnittszuordnung in den angehaltenen FIXED-Prozess eingefügt. Die Ausführung wird durch Thread-Kontext-Hijacking ausgelöst, gefolgt von einem optionalen Löschen des PE-Headers.
Injection-Flags 0x4 ist wahr und 0x80 ist falsch.
HijackLoader startet einen unterbrochenen Prozess, erstellt und ordnet direkt darin einen neuen Speicherabschnitt zu und schreibt dann das gepatchte rshell-Modul in diesen Abschnitt. Die Ausführung wird ausgelöst, indem der Kontext des Hauptthreads gekapert wird, um den rshell-Code auszuführen.
Injektionsflag 0x4 ist falsch und 0x10 ist wahr.
Führt Process Hollowing durch, indem das FIXED-Modul gestartet, der Hauptspeicherabschnitt gelöscht und dann die schädliche Nutzlast kopiert wird. Der Header „MZ“ wird in zwei separaten Aufrufen geschrieben. Schließlich wird das gepatchte rshell-Modul eingeschleust, das PEB modifiziert und optional der PE-Header der schädlichen Nutzlast gelöscht.
Der Injektionstyp ist auf 4 festgelegt
Injiziert die hauptsächliche schädliche Nutzlast und das rshell-Modul über Sektionsmapping ein. Ein Abschnitt wird erstellt und lokal mit der gepatchten rshell und der schädliche Nutzlast gefüllt und dann in einen angehaltenen Zielprozess (eine systemeigene Binärdatei oder ein CUSTOMINJECT-Modul ) eingefügt. Die Ausführung wird ausgelöst, indem der Kontext des Haupt-Threads so gekapert wird, dass er auf den rshell-Einstiegspunkt zeigt.
Benutzer in den LATAM-Regionen sind zunehmend Ziele von E-Mails, die sich als Regierung oder Justizbehörden ausgeben, mit Themen, die oft ein Gefühl der Dringlichkeit erzeugen. X-Force beobachtet Kampagnen, die routinemäßig einen eingebetteten Link oder ZIP-Anhänge beinhalten, die Opfer zu bösartigen Downloadern führen. Zwischen August und Oktober 2025 beobachtete X-Force mehrere E-Mails, die sich an Benutzer mit Wohnsitz in Kolumbien richteten. Die E-Mails imitierten die Generalstaatsanwaltschaft von Kolumbien und enthielten offizielle Dokumente zum Download. Hijackloader ist eine modulare Malware mit Ausweich- und Persistenzmechanismen, die den Benutzern hauptsächlich als ZIP- oder RAR-Archivdatei ausgeliefert wird. Die Archive enthalten eine bösartige DLL-Datei, die per Sideloading eingeschleust wird und zur Auslieferung zusätzlicher Nutzdaten dient. Diese E-Mails, wahrscheinlich Teil einer einzigen Kampagne, sind insofern bedeutsam, als die Akteure den Hijackloader nutzen, um PureHVNC RAT zu liefern – eine Kombination, die X-Force bisher nicht beobachtet hat.
Indikator
Art des Indikators
Kontext
troquelesmyj[@]gmail.com
Absender E-Mail
nuevos777[.]duckdns[.]org
Domäne
C2-Domäne
7octubredc[.]duckdns[.]org
Domäne
C2-Domäne
dckis13[.]duckdns[.]org
Domäne
C2-Domäne
dckis7[.]duckdns[.]org
Domäne
C2-Domäne
enviopago[.]mysynology[.]net
Domäne
C2-Domäne
maximo26[.]duckdns[.]org
Domäne
C2-Domäne
sofiavergara[.]duckdns[.]org
Domäne
C2-Domäne
hxxps[:]//drive[.]Google[.]COM
URL
SVG-Host
hxxps[:]//drive[.]google[.]com/
URL
SVG-Host
e7120d45ee357f30cb602c0d93
SHA256
ZIP
7e64102405459192813541448c8
SHA256
RAR
14becb3a9663128543e1868d09
SHA256
Hijackloader
57c49cff3e71bc75641c78a5a72d
SHA256
Hijackloader
7c3d9ad3f1bd890e3552dc6709
SHA256
Hijackloader
ce42377d3d26853fd1718f69341
SHA256
Hijackloader
a0e4979b4e4a706286438d48f
SHA256
Hijackloader
6d93a486e077858b75eb814e
SHA256
Hijackloader
bdca9849d7263d508b7ed4db
SHA256
Hijackloader
1ae61edf35127264d329b7c0e2
SHA256
Hijackloader
2ec31a8a36d73fa8354a7ac0c
SHA256
Hijackloader
776bbaa44c7788e0ccd5945
SHA256
Hijackloader
9e9997b54da0c633ffcf0a4fb
SHA256
Hijackloader
b2f733b67f1ef06d9e5ce76d3
SHA256
Hijackloader
c93e70d20ba2948a6a8a013
SHA256
Hijackloader
d550a2a327394148c0c3d05
SHA256
Hijackloader
e668ca17fcdfa818aac35f1206
SHA256
Hijackloader
fe6d0ee45a70359008b2916
SHA256
Hijackloader
977f2f18ff13c93406c5702f83
SHA256
Hijackloader
768ca38878c5bb15650343ce
SHA256
Hijackloader
47245b7d2d8cb6b92308deb
SHA256
Hijackloader
4484b0ac51536890301a0e6
SHA256
Hijackloader
0113d9f3d93069a29458b3b4
SHA256
Hijackloader
22d474e729d600dcd84ce139
SHA256
Hijackloader
2cbfc482e27a2240a48d2fb6f
SHA256
Hijackloader
96ee786c5b6167c0f0f770efba
SHA256
Hijackloader
33d0c63777882c9ec514be06
SHA256
PureHVNC
afecefa6d9bd1e6d1c9214420
SHA256
PureHVNC
85641c8fb94e8e4c5202152dc
SHA256
PureHVNC
1bf3a1cf9bc7eded0b8994d44
SHA256
PureHVNC
