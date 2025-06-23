Claimloader est une famille de chargeurs qui a beaucoup évolué ces dernières années. Ils contiennent une charge utile de shellcode chiffrée, qui est déchiffrée et injectée au moment de l’exécution. Notre précédent blog fournit plus de détails techniques sur les variantes précédentes utilisées par Hive0154.

Lors de la première exécution, Claimloader commence par créer un nouvel objet mutex pour garantir que seule une instance de Claimloader est en cours d’exécution. Il se déplace ensuite, ainsi que les fichiers EXE de ses processus utilisés pour le chargement latéral de DLL, vers un nouveau répertoire sous un nouveau nom, tel que :

C:\ProgramData\AdobeLicensingPlugin\WF_Adobe_licensing_helper.exe

C:\ProgramData\AdobeLicensingPlugin\libjyy.dll

Ensuite, Claimloader utilise l’API SHSetValueA() pour établir la persistance de l’EXE via une clé de registre ci-dessous :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

L’EXE sera ainsi exécuté chaque fois que l’utilisateur actuel se connectera à la machine. Le processus est exécuté avec un argument prédéfini, tel que « Licence », qui sert à invoquer la fonctionnalité principale de Claimloader.

Lors de la deuxième exécution du Claimloader avec l’argument spécifié, la dernière variante du Claimloader commence à décrypter une charge utile intégrée via l’algorithme TripleDES. Cet algorithme n’a été observé dans les variantes de Claimloader que fin avril 2025. Les variantes mises à jour utilisent également des noms d’API chiffrés XOR et des API natives LdrLoadDll() et LdrGetProcedureAddress() pour résoudre dynamiquement les importations.

Après cinq secondes de veille, Claimloader alloue un nouveau tampon exécutable en mémoire et y copie la charge utile du shellcode. Le logiciel malveillant dort pendant 10 secondes supplémentaires, puis appelle les API GetDC() et EnumFontsW(), qu'il utilise pour exécuter la charge utile en mémoire en transmettant son point d’entrée en tant que fonction de rappel.