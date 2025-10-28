Kode shell kemudian dimuat ke dalam vssapi.dll, yang merupakan DLL yang ditentukan dalam konfigurasi malware. Ini dilakukan dengan memanggil VirtualProtect () untuk mengubah perlindungan memori bagian.text DLL menjadi PAGE_EXECUTE_READWRITE. Akhirnya, shellcode disalin ke alamat yang dapat ditulis ini, dan aliran eksekusi ditransfer ke sana.

Shellcode bertindak sebagai loader, tetapi pertama-tama, kode ini meng-hash nama proses yang sedang berjalan di sistem dan membandingkannya dengan nilai yang ditentukan dalam konfigurasi malware. Jika kecocokan ditemukan, malware menggunakan API ntDelayExecution () untuk menghentikan eksekusi sendiri.

Selanjutnya, program membaca isi dari Plagkeg.zk. Isi file ini adalah konfigurasi malware terenkripsi lainnya dan modul HijackLoader. Data dibagi menjadi beberapa bagian, dengan potongan awal berisi informasi berikut:

Ukuran data terenkripsi

Penanda (“IDAT”)

Nilai (0xC6A579EA) digunakan untuk memeriksa byte awal shellcode

Kunci untuk mendekripsi data

Potongan berikutnya mengikuti struktur ini:

Ukuran potongan shellcode

Penanda (“IDAT”)

Byte terenkripsi

Untuk merakit potongan-potongan ini, HijackLoader mengulangi melalui data terenkripsi mencari “???? Pola IDAT“, di mana tanda tanya bertindak sebagai wildcard. Setelah kecocokan ditemukan, ia memeriksa apakah empat byte segera mengikuti pola sama dengan 0xC6A579 EA. Ini menegaskan bahwa potongan awal telah ditemukan, yang penting karena berisi ukuran total shellcode dan kunci dekripsi. Jika nilainya cocok, HijackLoader menyimpan byte shellcode ke dalam buffer. Proses ini diulangi untuk setiap chunk berikutnya, di mana byte shellcode-nya ditambahkan ke buffer yang sama, hingga tidak ada lagi pola yang cocok ditemukan.

Setelah selesai, buffer yang berisi shellcode terenkripsi didekripsi menggunakan cipher XOR dan kemudian didekompresi menggunakan algoritma LZNT1. Hasilnya adalah struktur yang berisi berbagai informasi, seperti muatan akhir, struktur modul, dll.

Malware tahap 3: ti64 - modul utama

Fungsionalitas HijackLoader dibagi menjadi beberapa modul. Beberapa berisi kode yang dapat dieksekusi, sementara yang lain hanyalah informasi yang digunakan untuk referensi. Contohnya adalah modul COPYLIST, yang berisi daftar nama file yang terkait dengan varian HijackLoader ini. Sesuai laporan Trellix , beberapa varian HijackLoader mendukung hingga 40 modul, tetapi sampel yang dianalisis untuk laporan ini hanya mendukung 35. Tidak semua modul dieksekusi, dan penggunaannya tergantung pada bendera yang ditentukan dalam konfigurasi malware.

Tabel di bawah ini merangkum nama masing-masing modul dan tujuannya:

HijackLoader melakukan loop melalui struktur ini dan mengubah setiap nama modul menjadi hash menggunakan algoritma khusus. Setelah kecocokan untuk modul “ti64” ditemukan, program menghitung sebuah pointer ke kode modul tersebut dengan menjumlahkan offset data ke basis dari module data array. Pointer ini kemudian dikembalikan dan digunakan sebagai referensi ke shellcode dari “ti64".

Selanjutnya, malware melakukan operasi lubang DLL lain untuk menyuntikkan kode shell modul “ti64". Target adalah DLL yang ditentukan dalam konfigurasi yang didekripsi sebelumnya, yang dalam hal ini adalah pla.dll.