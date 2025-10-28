Le shellcode est ensuite chargé dans vssapi.dll, qui est la DLL spécifiée dans la configuration du logiciel malveillant. Cela se fait en appelant VirtualProtect() pour modifier la protection mémoire de la section .text de la DLL en PAGE_EXECUTE_READWRITE. Enfin, le shellcode est copié dans cette adresse accessible en écriture, et le flux d’exécution y est transféré.

Le shellcode agit comme un chargeur, mais il commence par hacher les noms des processus en cours d’exécution dans le système et les compare aux valeurs spécifiées dans la configuration du logiciel malveillant. Si une correspondance est trouvée, le logiciel malveillant utilise l’API NtDelayExecution() pour retarder sa propre exécution.

Ensuite, il lit le contenu de Plagkeg.zk. Le contenu de ce fichier est une autre configuration chiffrée du logiciel malveillant et des modules de HijackLoader. Les données sont divisées en plusieurs segments, le segment initial contenant les informations suivantes :

La taille des données chiffrées

Marqueur (« IDAT »)

Une valeur (0xC6A579EA) utilisée pour vérifier les octets de départ du shellcode

La clé pour déchiffrer les données

Les segments suivants suivent cette structure :

La taille du fragment de shellcode

Marqueur (« IDAT »)

Les octets chiffrés

Pour assembler ces segments, HijackLoader parcourt les données chiffrées à la recherche du motif « ????IDAT », où les points d’interrogation servent de caractères génériques. Lorsqu’une correspondance est trouvée, il vérifie si les quatre octets qui suivent immédiatement le motif sont égaux à 0xC6A579EA. Cela confirme que le segment initial a été trouvé, ce qui est important car il contient la taille totale du shellcode et la clé de déchiffrement. Si la valeur correspond, HijackLoader stocke les octets de shellcode dans un tampon. Le processus est répété pour tous les segments suivants, leurs octets de shellcode étant ajoutés au même tampon, jusqu’à ce qu’aucun motif correspondant ne soit trouvé.

Une fois cette opération effectuée, le tampon contenant le shellcode chiffré est déchiffré à l’aide d’un algorithme XOR, puis décompressé à l’aide de l’algorithme LZNT1. Le résultat est une structure qui contient diverses informations, telles que la charge utile finale, la structure des modules, etc.

Étape 3 du logiciel malveillant : ti64 - module principal

Les fonctionnalités de HijackLoader sont divisées en modules. Certains contiennent du code exécutable, tandis que d’autres ne sont que des informations utilisées à titre de référence. Un exemple en est le module COPYLIST , qui contient la liste des noms de fichiers liés à cette variante de HijackLoader. Selon le rapport de Trellix, certaines variantes de HijackLoader prennent en charge jusqu’à 40 modules, mais l’échantillon analysé pour ce rapport n'en prend en charge que 35. Tous les modules ne sont pas exécutés, et leur utilisation dépend des indicateurs (flags) spécifiés dans la configuration du logiciel malveillant.

Le tableau ci-dessous résume le nom de chaque module et son objectif :

HijackLoader parcourt ces structures et convertit le nom de chaque module en hash à l’aide d’un algorithme personnalisé. Une fois la correspondance avec le module « ti64 » trouvée, il calcule un pointeur vers le code du module en ajoutant le décalage des données à la base du tableau de données du module. Ce pointeur est ensuite renvoyé et utilisé comme référence au shellcode de « ti64 ».

Ensuite, le logiciel malveillant effectue une autre opération de DLL hollowing pour injecter le shellcode du module « ti64 ». La cible est une DLL spécifiée dans la configuration précédemment déchiffrée, qui dans ce cas est pla.dll.