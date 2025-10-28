A continuación, el shellcode se carga en vssapi.dll, que es la DLL especificada en la configuración del malware. Esto se hace llamando a VirtualProtect() para cambiar la protección de memoria de la sección .text de la DLL a PAGE_EXECUTE_READWRITE. Por último, el shellcode se copia en esta dirección de escritura y se transfiere a ella el flujo de ejecución.

El shellcode actúa como un cargador, pero primero, procesa los nombres de los procesos en ejecución en el sistema y los compara con los valores especificados en la configuración del malware. Si se encuentra una coincidencia, el malware utiliza la API NtDelayExecution() para frenar su propia ejecución.

A continuación, lee el contenido de Plagkeg.zk. El contenido de este archivo es otra configuración de malware cifrada y los módulos de HijackLoader. Los datos se dividen en varios fragmentos, y el fragmento inicial contiene la siguiente información:

El tamaño de los datos cifrados

Marcador (“IDAT”)

Un valor (0xC6A579EA) usado para comprobar los bytes iniciales del shellcode

La clave para descifrar los datos

Los siguientes fragmentos siguen esta estructura:

El tamaño del fragmento de shellcode

Marcador (“IDAT”)

Los bytes cifrados

Para ensamblar estos fragmentos, HijackLoader itera a través de los datos cifrados buscando el patrón "????IDAT", donde los signos de interrogación actúan como comodines. Una vez que encuentra una coincidencia, comprueba si los cuatro bytes que siguen inmediatamente al patrón son iguales a 0xC6A579EA. Esto confirma que se ha encontrado el fragmento inicial, que es importante porque contiene el tamaño total del shellcode y la clave de descifrado. Si el valor coincide, HijackLoader almacena los bytes del shellcode en un búfer. El proceso se repite para todos los fragmentos posteriores, y sus bytes de shellcode se añaden al mismo búfer, hasta que no se encuentran más patrones coincidentes.

Una vez hecho esto, el búfer que contiene el shellcode cifrado se descifra utilizando un cifrado XOR y luego se descomprime utilizando el algoritmo LZNT1. El resultado es una estructura que contiene diversa información, como la carga útil final, la estructura del módulo, etc.

Malware etapa 3: ti64 - módulo principal

La funcionalidad de HijackLoader se divide en módulos. Algunos contienen código ejecutable, mientras que otros son simplemente información utilizada como referencia. Un ejemplo de esto es el módulo COPYLIST , que contiene la lista de nombres de archivo relacionados con esta variante de HijackLoader. Según el informe de Trellix, algunas variantes de HijackLoader soportan hasta 40 módulos, pero la muestra analizada para este informe solo soporta 35. No todos los módulos se ejecutan, y su uso depende de las banderas especificadas en la configuración del malware.

La siguiente tabla resume el nombre de cada módulo y su propósito:

HijackLoader recorre estas estructuras y convierte cada nombre de módulo en un hash utilizando un algoritmo personalizado. Una vez que se encuentra la coincidencia para el módulo "ti64", calcula un puntero al código del módulo añadiendo el desplazamiento de los datos a la base de la matriz de datos del módulo. A continuación, este puntero se devuelve y se utiliza como referencia al shellcode de "ti64".

A continuación, el malware realiza otra operación de vaciado de DLL para inyectar el shellcode del módulo "ti64". El objetivo es una DLL especificada en la configuración previamente descifrada, que en este caso es pla.dll.