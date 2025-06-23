Claimloader adalah keluarga loader yang telah berkembang secara signifikan selama beberapa tahun terakhir. Mereka berisi payload shellcode terenkripsi, yang didekripsi dan disuntikkan pada waktu proses. Blog kami sebelumnya memberikan detail teknis lebih lanjut tentang varian sebelumnya yang digunakan oleh Hive0154.

Pada eksekusi pertama, Claimloader dimulai dengan membuat objek mutex baru untuk memastikan hanya satu instance Claimloader yang berjalan. Kemudian pindah dirinya sendiri dan EXE prosesnya yang digunakan untuk sideloading DLL ke direktori baru dengan nama baru, seperti:

C:\ProgramData\AdobeLicensingPlugin\WF_Adobe_licensing_helper.exe

C:\ProgramData\AdobeLicensingPlugin\libjyy.dll

Selanjutnya, Claimloader menggunakan API SHSetValueA () untuk menetapkan persistensi untuk EXE melalui kunci registri di bawah ini:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Ini akan menyebabkan EXE dieksekusi setiap kali pengguna saat ini masuk ke mesin. Proses ini dijalankan dengan argumen yang telah ditentukan sebelumnya, seperti "Licensing", yang digunakan untuk memanggil fungsionalitas utama Claimloader.

Pada eksekusi Claimloader kedua dengan argumen yang ditentukan, varian Claimloader terbaru mulai mendekripsi payload tertanam melalui algoritma TripleDES. Algoritma ini hanya diamati pada varian Claimloader mulai akhir April 2025. Varian yang diperbarui juga menggunakan nama API yang dienkripsi XOR dan API asli LdrLoadDll ( ) dan LdrGetProcedureAddress () untuk menyelesaikan impor secara dinamis.

Setelah tidur selama lima detik, Claimloader mengalokasikan buffer yang dapat dieksekusi baru di memori dan menyalin payload shellcode ke dalamnya. Malware tidur selama 10 detik lagi dan kemudian memanggilGetDC() dan EnumFontsW(), API yang digunakannya untuk mengeksekusi payload dalam memori dengan meneruskan titik masuknya sebagai fungsi callback.