Protezione

Rapporto di analisi delle minacce X-Force: LATAM indotta a distribuire PureHVNC

Pubblicato il 28 ottobre 2025
Vista laterale di mani che digitano sulla tastiera di un laptop in una stanza illuminata di blu

Autori

Melissa Frydrych-Dean

Threat Hunt Researcher

IBM

Raymond Joseph Alfonso

Malware Reverse Engineer

IBM X-Force

Tra agosto e ottobre 2025, IBM X-Force ha osservato diverse e-mail indirizzate a persone probabilmente colombiane, di lingua spagnola, con temi relativi all'ufficio del Procuratore Generale della Colombia. Le e-mail inducono l'utente a scaricare un "documento ufficiale" dal sistema informativo giudiziario, che avvia la catena di infezione tramite l'esecuzione di un file eseguibile Hijackloader che porta al trojan di accesso remoto (RAT) PureHVNC.

Tipo di minaccia

  • Phishing

Background

Tra agosto e ottobre 2025, X-Force ha osservato diverse e-mail rivolte a utenti probabilmente residenti in Colombia, con e-mail che imitavano l'ufficio del Procuratore Generale della Colombia con il download ufficiale di documenti. Le e-mail hanno l'obiettivo di utilizzare Hijackloader per consegnare diversi payload, incluso PureHVNC. Hijackloader non è stato ampiamente utilizzato in campagne rivolte a utenti dell'America Latina (LATAM), e precedentemente X-Force non aveva osservato campagne rivolte a utenti LATAM per la consegna di PureHVNC. Nel 2024, ci sono dettagli sull'utilizzo di Hijackloader per caricare RemcosRAT in campagne rivolte ai clienti di CrowdStrike, probabilmente provenienti da paesi dell'America Latina (in base ai nomi dei file e alle istruzioni in spagnolo). La distribuzione del RAT PureHVNC è interessante in quanto X-Force non ha mai osservato in precedenza campagne in cui PureHVNC fosse distribuito a utenti di lingua spagnola. Il RAT PureHVNC fa parte di un set di strumenti venduti da PureCoder. Gli strumenti dannosi sono facilmente reperibili sul dark web, nei forum underground e su Telegram.

Analisi

Panoramica

Agli utenti viene presentata un'e-mail che pretende di essere una corrispondenza ufficiale relativa all'ufficio del Procuratore Generale della Colombia. L'e-mail afferma che una causa è stata intentata da un ex dipendente ed è in fase di elaborazione presso i tribunali del lavoro. Allegato all'e-mail c'è un file SVG, che viene aperto dalla vittima su Google Drive. Nella maggior parte dei casi, l'anteprima del documento è visibile ed è pronta per il download cliccando sul pulsante di download. In un caso, alla vittima è stato mostrato il messaggio "Impossibile visualizzare l'anteprima del file" e un pulsante per il download, che apriva il file su Google Drive. In ogni caso, mentre ci si trova su Google Drive, cliccando in un punto qualsiasi del documento verrà scaricato un file di archivio ZIP e alla vittima verrà presentata una pagina "Download completato" contenente una password come "KC4SX87". Il file ZIP contiene diversi file aggiuntivi, uno dei quali è un file eseguibile per il quale l'utente ha bisogno della password per poterlo eseguire se cliccato. Facendo clic sul file EXE si avvia la catena di infezione, tramite la quale Hijackloader viene utilizzato per implementare diversi payload, tra cui PureHVNC.

schermata di un e-mail di esempio per questa campagna di phishing
Figura 1 Esempio di e-mail
Esempio di pagina di download
Figura 2 Esempio di pagina di download
Download di SVG che falsifica la Consulta de Procesos Nacional Unificada
Figura 3 Download di SVG
Anteprima del download del documento SVG per il Portal de Consulta Ciudadana falsificato
Figura 4 Anteprima del download del documento SVG
Download di SVG che falsifica il Portal de Consulta Ciudadana
Figura 5 Download di SVG
schermata del download completato e password
Figura 6 Download completato e password
Contenuto dell'archivio ZIP
Figura 7 Contenuti dell'archivio ZIP
Inserimento password per file EXE
Figura 8 Inserimento password per file EXE

Esempio di catena di infezione per PureHVNC

  • 02 BOLETA FISCAL.exe (javaw.exe) → JLI.dll → MSTH7EN.DLL → Sumhand.zam → Plagkeg.zk → PureHVNC → sofiavergara[.]duckdns[.]org

Fase 1 del malware: DLL side-loading

Hijackloader utilizza una tecnica chiamata DLL side-loading, che sfrutta l'ordine di ricerca di Windows per individuare le librerie necessarie all'esecuzione di un file DLL dannoso. Hijackloader utilizza un file javaw.exe legittimo che è stato rinominato con un nome a tema giudiziario (02 BOLETA FISCAL.exe). Poiché una delle dipendenze di javaw.exe è JLI.dll, Hijackloader inserisce una versione modificata di JLI.dll nella stessa directory. Quando viene avviato il file javaw.exe rinominato, il sistema operativo carica anche il file DLL dannoso dalla directory locale.

La funzione principale del file dannoso JLI.dll è caricare il payload di seconda fase, MSTH7EN.dll. Lo fa chiamando l'API LoadLibraryW(), che carica MSTH7EN.dll nello spazio di indirizzo del processo. La chiamata API restituisce l'indirizzo base dell'immagine del file DLL appena caricato. Questo indirizzo viene quindi aggiunto a un offset specifico per calcolare il punto di ingresso del codice dannoso in MSTH7EN.dll.

if ( v25 )
{
  *v25 += v25;
  *(v25 - 117) += v26;
  v27 = v42;
  v28 = *v26;
  do
  {
      ++v26;
      *v27++ = v28;
      v28 = *v26;
  }
  while ( *v26 );
  *v27 = 0;
  LibraryA = LoadLibraryA(v42); //Load MSTH7EN.DLL
  if ( LibraryA )
    LOBYTE(LibraryA) = ((LibraryA + 31934))(); //Image base of MSTH7EN.dll +
31934 (malicious code offset)
  }

Fase 2 del malware: fase di caricamento

Il payload della seconda fase inizia con l'inizializzazione. Per evitare il rilevamento, carica e risolve dinamicamente tutte le librerie e le API necessarie. Una volta completato, verifica che la directory operativa corrente corrisponda alla posizione di Hijackloader, assicurando che il payload di terza fase possa essere correttamente riferito e caricato.

Il payload di terza fase contiene una configurazione di malware crittografata con i seguenti componenti:

  • Chiave per decifrare la configurazione
  • Dimensione della configurazione crittografata
  • I dati di configurazione crittografati

Al momento della decrittazione, la configurazione del malware contiene informazioni, come le seguenti:

  • Il nome del file DLL su cui eseguire il DLL hollowing
  • La dimensione dello shellcode per il DLL hollowing
  • L'offset del codice dannoso all'interno dello shellcode
  • Gli hash dei nomi dei processi che, se rilevati, ritarderanno l'esecuzione del malware
  • I primi quattro byte dello shellcode, usati per la validazione
  • Una stringa di ricerca utilizzata per individuare l'inizio dello shellcode
schermata della configurazione crittografata del malware
Figura 9 Configurazione crittografata del malware
schermata della configurazione decrittografata del malware
Figura 10 Configurazione decrittografata del malware

Lo shellcode viene quindi caricato in vssapi.dll, che è il file DLL specificato nella configurazione del malware. Questo avviene chiamando VirtualProtect() per modificare la protezione della memoria della sezione .text del file DLL in PAGE_EXECUTE_READWRITE. Infine, lo shellcode viene copiato su questo indirizzo scrivibile e il flusso di esecuzione viene trasferito ad esso.

Lo shellcode agisce come loader, ma prima calcola gli hash dei nomi dei processi in esecuzione nel sistema e li confronta con i valori specificati nella configurazione del malware. Se viene trovata una corrispondenza, il malware utilizza l'API NtDelayExecution() per bloccare la propria esecuzione.

Successivamente, legge il contenuto di Plagkeg.zk. Il contenuto di questo file è costituito da un'altra configurazione malware criptata e dai moduli di HijackLoader. I dati sono suddivisi in più blocchi, con il blocco iniziale che contiene le seguenti informazioni:

  • La dimensione dei dati crittografati
  • Un marcatore ("IDAT")
  • Un valore (0xC6A579EA) usato per controllare i byte iniziali dello shellcode
  • La chiave per decifrare i dati

I blocchi successivi seguono questa struttura:

  • La dimensione del blocco di shellcode
  • Un marcatore ("IDAT")
  • I byte crittografati

Per assemblare questi blocchi, HijackLoader scorre i dati crittografati cercando il pattern "???? IDAT", dove i punti interrogativi agiscono come caratteri jolly. Una volta trovata una corrispondenza, verifica se i quattro byte immediatamente successivi al pattern sono uguali a 0xC6A579EA. Questo conferma che è stato trovato il blocco iniziale, che è importante perché contiene la dimensione totale dello shellcode e la chiave di decrittazione. Se il valore corrisponde, HijackLoader memorizza i byte dello shellcode in un buffer. Il processo viene ripetuto per tutti i blocchi successivi, con i byte dello shellcode aggiunti allo stesso buffer, fino a quando non si trovano più pattern corrispondenti.

Una volta fatto, il buffer contenente lo shellcode crittografato viene decifrato utilizzando un cifrario XOR e poi decompresso con l'algoritmo LZNT1. Il risultato è una struttura che contiene varie informazioni, come il payload finale, la struttura del modulo, ecc.

Fase 3 del malware: ti64 - modulo principale

La funzionalità di HijackLoader è suddivisa in moduli. Alcuni contengono codice eseguibile, mentre altri sono semplicemente informazioni utilizzate come riferimento. Un esempio di ciò è il modulo COPYLIST, che contiene l'elenco dei nomi di file relativi a questa variante di HijackLoader. Secondo il rapporto di Trellix, alcune varianti di HijackLoader supportano fino a 40 moduli, ma il campione analizzato per questo rapporto ne supporta solo 35. Non tutti i moduli vengono eseguiti e il loro utilizzo dipende dai flag specificati nella configurazione del malware.

La tabella seguente riassume il nome di ciascun modulo e il suo scopo:

HijackLoader scorre queste strutture e converte ogni nome modulo in un hash utilizzando un algoritmo personalizzato. Una volta trovata la corrispondenza per il modulo "ti64", calcola un puntatore al codice del modulo aggiungendo l'offset dei dati alla base dell'array di dati del modulo. Questo puntatore viene quindi restituito e utilizzato come riferimento allo shellcode di "ti64".

Successivamente, il malware esegue un'altra operazione di svuotamento del file DLL per iniettare lo shellcode del modulo "ti64". L'obiettivo è un file DLL specificato nella configurazione decriptata in precedenza, che in questo caso è pla.dll.

Nome del modulo

Hash

Scopo

AVDATA

0x78B783CA

Contiene hash dei processi relativi ai prodotti di sicurezza

ESAL
ESAL64

0x757C9405
0x6364A15B

Pulisce i dati in memoria di hijackloader ed esegue il payload finale

ESLDR
ESLDR64

0xE7794E15
0x4FA01AC5

Utilizzato per iniettare ed eseguire shellcode correlato a HijackLoader

ESWR
ESWR64

0x93EB1CB1
0xAE2762

Cancella i dati dello shellcode ed esegue il modulo rshell

FIXED

0x699D0C82

File PE legittimo utilizzato per inserire codice nel suo processo

LauncherLdr64

0xF4F141C2

Decifra i file di configurazione memorizzati sul disco

modCreateProcess
modCreateProcess64

0x696F778F
0x9B0B7E4B

Utilizzato per eseguire un file

modTask
modTask64

0x3115355E
0x9BFAF2D3

Crea persistenza utilizzando un'attività programmata

modUAC
modUAC64

0xC64EBFDA
0xC97832F9

Utilizzato per l'escalation dei privilegi

modWriteFile
modWriteFile64

0xFCE82FC1
0x90415081

Gestisce la creazione di file su disco

rshell

rshell64

0x74984889
0x7B37E907

Esegue il payload finale

ti

ti64

0x3EE477F1
0x2AB77DB8

Serve come shellcode principale che esegue tutti gli altri moduli

TinyCallProxy
TinyCallProxy64

0x455CBBC3
0x5515DCEA

Agisce come proxy per eseguire chiamate API

tinystub
tinystub64

0x4EACE798
0x6E874E5A

Contiene un file eseguibile fittizio, che viene utilizzato per il patching durante il processo di esecuzione del payload finale

tinyutilitymodule.dll
tinyutilitymodule64.dll

0xA1D724FC
0xA0077EA3

Sovrascrive gli header PE di un file specificato con byte nulli

SM

0xD8222145

Contiene il nome del file DLL di sistema utilizzato nello spoofing dello stack di chiamate o nell'injection di shellcode

COPYLIST

0x1AE7700A

Un elenco di nomi di file da copiare o eliminare

CUSTOMINJECT

0x6703F815

Contiene un file eseguibile legittimo che viene utilizzato per inserire codice nella memoria del processo. Il processo viene creato in un percorso personalizzato specificato dal modulo CUSTOMINJECTPATH

CUSTOMINJECTPATH

0x192A4446

Contiene un percorso file utilizzato per creare il file legittimo nel modulo CUSTOMINJECT

X64L

0xCB5B9F3F

Modulo che viene inserito in un processo per fungere da proxy di injection

WDUACDATA

0x4D75088D

Contiene la stringa usata per eseguire comandi tramite cmd

WDDATA

0xB718A6AE

Contiene un comando PowerShell per aggiungere un'esclusione di Windows Defender Antivirus

PERSDATA

0xA2E0AB5D

Contiene la configurazione usata dal modulo modTask per creare attività programmate

MUTEX

0x1999709F

Contiene il nome mutex da controllare

Escalation dei privilegi

Il modulo modUAC, come gli altri moduli, utilizza TinycallProxy per chiamare le API. Se il primo DWORD del modulo UACDATA è 2, utilizza "runas" per elevare i propri privilegi. Altrimenti, utilizza l'interfaccia COM CMSTPLUA per bypassare UAC.

Evasione

Chiamata API indiretta

In alcune varianti, HijackLoader utilizza una tecnica chiamata "stack spoofing" per mascherare l'origine delle chiamate API e di sistema. Lo fa utilizzando il registro del puntatore di base (EBP) per navigare nello stack, seguendo la catena di puntatori EBP per recuperare l'indirizzo di ritorno da ogni frame dello stack. Se un indirizzo di ritorno non è presente nella sezione .text di ntdll.dll o kernelbase.dll, HijackLoader lo memorizza per dopo. Questo processo si ripete fino a raggiungere il limite dello stack o fino a quando non si trovano tre indirizzi di ritorno consecutivi all'interno di quelle librerie di sistema.

Successivamente, esegue lo spoofing dello stack di chiamate sovrascrivendo gli indirizzi di ritorno legittimi salvati con indirizzi falsi. Ogni indirizzo falso viene generato selezionando un'esportazione casuale da un file DLL specificato dal modulo SM  (in questo caso, dcd9.dll) e aggiungendo un offset casuale, assicurando che il puntatore finale si trovi nella sezione .text di quel modulo. Heaven's Gate viene poi utilizzato per eseguire il syscall. Immediatamente dopo il completamento della chiamata, gli indirizzi dello stack originali vengono ripristinati.

Le varianti più recenti, tuttavia, utilizzano una tecnica diversa. Invece di falsificare lo stack, HijackLoader carica il file DLL di destinazione specificato dal modulo SM tramite LoadLibraryW(). Successivamente salva il codice da un offset casuale all'interno di quel file DLL in un buffer temporaneo e lo sostituisce con lo shellcode del modulo TinyCallProxy64, progettato per chiamare l'API specificata. Una volta terminata la chiamata, viene ripristinato il codice originale pulito.

HijackLoader utilizza queste tecniche per un numero selezionato di funzioni che probabilmente saranno monitorate da software AV, come ZwProtectVirtualMemory ZwGetContextThread.

__int64 __fastcall sub_7FF87A86D3B0(
        GlobalContext_0 *a1,
        __int64 hash_of_function,
        __int64 a3,
        __int64 a4,
        __int64 a5,
        __int64 a6,
        __int64 a7)
{
  Indirect_SYSCALL *syscall_struct; // [rsp+40h] [rbp-28h]
  __int64 (__fastcall *pAPIFunc)(__int64, __int64, __int64, __int64, __int64);
// [rsp+48h] [rbp-20h]

  syscall_struct = sub_7FF87A86B470(a1, hash_of_function);
  if ( !syscall_struct )
    return 0xFFFFFFFFLL;
  pAPIFunc = (a1->ntdll_image_base + syscall_struct->api_rva);
  if ( a1->GlobalContext_1 )
    return mw_indirect_api_call(a1->GlobalContext_1, pAPIFunc, a3, a4, a5, a6, a7);
  else
    return pAPIFunc(a3, a4, a5, a6, a7);
}

__int64 __fastcall mw_indirect_api_call(
        GlobalContext_1 *TinyCallProxy64,
        __int64 pAPIFunc,
        __int64 a3,
        __int64 a4,
        __int64 NtClose,
        __int64 a6,
        __int64 a7)
{
  _BYTE *shellcodeAddress; // [rsp+40h] [rbp-58h]
  unsigned int v9; // [rsp+48h] [rbp-50h] BYREF
  int v10; // [rsp+4Ch] [rbp-4Ch] BYREF
  unsigned int v11; // [rsp+50h] [rbp-48h]
  _BYTE *clean_code; // [rsp+58h] [rbp-40h]
  unsigned int v13; // [rsp+60h] [rbp-38h]
  void (__fastcall *FlushInstructionCache)(__int64, _BYTE *, _QWORD); //
[rsp+68h] [rbp-30h]
  unsigned __int64 random_address; // [rsp+70h] [rbp-28h]
  __int64 (__fastcall *pShellcodeAddress)(__int64, unsigned __int64, _QWORD,
__int64, __int64, __int64, __int64, __int64); // [rsp+78h] [rbp-20h]
  void (__fastcall *v17)(__int64, _BYTE *, _QWORD); // [rsp+80h] [rbp-18h]

  v13 = 5;
  v11 = 0;
  shellcodeAddress = mw_pick_random_address(TinyCallProxy64);// d3d9.dll address
  v9 = 0;
  v10 = 0;
  if ( !(TinyCallProxy64->VirtualProtect)(shellcodeAddress,
LODWORD(TinyCallProxy64->shellcode_size), 64LL, &v9) )
    return -1LL;
  clean_code = (TinyCallProxy64->malloc)(LODWORD(TinyCallProxy64->shellcode_size));
  wrapper_memcpy(clean_code, shellcodeAddress, TinyCallProxy64->shellcode_size);
  wrapper_memcpy(shellcodeAddress, TinyCallProxy64->shellcode, TinyCallProxy64->shellcode_size);
  (TinyCallProxy64->VirtualProtect)(shellcodeAddress, LODWORD(TinyCallProxy64->shellcode_size), v9, &v9);
  if ( TinyCallProxy64->FlushInstructionCache )
  {
    FlushInstructionCache = TinyCallProxy64->FlushInstructionCache;
    FlushInstructionCache(-1LL, shellcodeAddress, LODWORD(TinyCallProxy64->shellcode_size));
  }
  pShellcodeAddress = shellcodeAddress;
  random_address = mw_pick_random_address(TinyCallProxy64);
  v11 = pShellcodeAddress(pAPIFunc, random_address, v13, a3, a4, a5, a6, a7);
  if ( (TinyCallProxy64->VirtualProtect)(shellcodeAddress, LODWORD(TinyCallProxy64->shellcode_size), 0x40LL, &v10) )
    wrapper_memcpy(shellcodeAddress, clean_code, TinyCallProxy64->shellcode_size);
  (TinyCallProxy64->VirtualProtect)(shellcodeAddress, LODWORD(TinyCallProxy64->shellcode_size), 32LL, &v10);
  if ( clean_code )
    (TinyCallProxy64->free)(clean_code);
  if ( TinyCallProxy64->FlushInstructionCache )
  {
    v17 = TinyCallProxy64->FlushInstructionCache;
    v17(-1LL, shellcodeAddress, LODWORD(TinyCallProxy64->shellcode_size));
  }
  return v11;
}

ANTIVM

Tecnica

Descrizione

Controllo anti-debugging basato sul tempo

Utilizza una tecnica di evasione basata sul tempo misurando la latenza dell'istruzione cpuid. Avvolge la chiamata cpuid con istruzioni rdtsc all'interno di un ciclo e, se il tempo di esecuzione supera una soglia specificata, rileva la presenza di un debugger o di una macchina virtuale.

Controllo dell'hypervisor

Esegue un controllo anti-VM standard eseguendo l'istruzione cpuid e controllando il "bit hypervisor" (bit 31) nel registro ECX restituito. Se questo bit è impostato su 1, indica la presenza di un hypervisor.

Controllo dell'ID del fornitore

Esegue un controllo anti-VM interrogando la leaf di informazioni dell'hypervisor (0x40000000). Un valore di ritorno in EAX maggiore o uguale a 0x40000000 indica la presenza di leaf CPUID specifiche per hypervisor attive.

Controllo della RAM totale

Esegue un controllo anti-sandbox interrogando la RAM fisica totale. Chiama NtQuerySystemInformation per calcolare la memoria totale in gigabyte (spostando il conteggio dei byte a destra di 30) e termina se il risultato è inferiore a 4 GB.

Controllo del numero di processori

Effettua un controllo anti-sandbox interrogando il numero di core CPU. Chiama NtQuerySystemInformation per ottenere il NumberOfProcessors e lo confronta con il valore specificato nella configurazione del modulo ANTIVM.

Controllo del nome utente

Confronta il nome utente dell'utente corrente con il valore specificato nel modulo ANTIVM.

Controllo del nome del computer

Controlla se il nome del computer è composto solo da numeri.

Controllo della directory operativa attuale

Controlla se il percorso attuale del modulo è sul desktop.

Un controllo anti-virtualizzazione fallito comporta la terminazione del processo tramite una chiamata a ZwTerminateProcess().

Unhooking degli NTDLL

La routine di unhooking confronta la sezione .text del file ntdll.dll attualmente caricato rispetto a una copia pulita e mappata. Scansiona le istruzioni call (0xE8) e jmp (0xE9) e rileva un hook se il tipo di istruzione o l'indirizzo di destinazione differisce tra le due versioni. Se viene trovato un hook, il malware corregge il file ntdll.dll in memoria ripristinando i byte originali e puliti.

for ( i = 0; ; ++i )
{
  result = v5[6];
    if ( i >= result )
      break;
    function_rva = *(v7 + 4LL * *(v6 + 2LL * i));
    if ( *(a1->ntdll_image_base + function_rva) != *(a2->clean_ntdll_buffer + function_rva) )// check if the ntdll functions are hooked
                                                // This is done by comparing the first byte of the fuinction.
    {
      if ( check_if_valid_address(a1, a1->ntdll_image_base, function_rva) )
        mw_clean_dll(a1, a2, function_rva, a1->ntdll_image_base, a2->clean_ntdll_buffer);
    }
  }
  return result;
}

Persistenza

Il meccanismo di persistenza di HijackLoader è controllato anche dalla sua configurazione. Il comportamento è dettato da un flag:

  • Collegamento LNK (flag 1): se il flag è impostato su 1, HijackLoader crea un file LNK che punta al proprio percorso eseguibile. Questo collegamento viene quindi spostato nella cartella di avvio dell'utente per garantirne l'esecuzione al login.
  • Attività programmata (flag 3): se il flag è impostato su 3, crea un'attività pianificata utilizzando il modulo modTask.

Oltre a questi flag, HijackLoader può creare un altro meccanismo di persistenza controllando la presenza di un modulo PERSDATA . Questo modulo contiene i dati di configurazione necessari, come il nome dell'attività, per creare una seconda attività programmata.

Metodi di injection

Tipo di injection

Descrizione

Se il file da inserire è un DLL o i flag di injection sono inferiori a 0x3

Il payload finale verrà eseguito nello stesso processo, quindi il payload DLL verrà mappato nel file DLL svuotato.

Se il payload finale non è un file .NET/CLR, i flag di injection 0x20 è false e 0x80 è true

Nasconde il payload di rshell in un PE tinystub fittizio, utilizzando una transazione NTFS di tipo rollback. Successivamente mappa questo PE nascosto in un processo sospeso (FIXED), dove il modulo ESWR prende il controllo del contesto del thread principale per eseguire il codice rshell.

Se il payload finale non è un file .NET/CLR, i flag di injection 0x20 e 0x80 sono entrambi false

Il modulo FIXED viene salvato su disco e creato come processo sospeso. Il modulo ESWR viene quindi utilizzato per attivare l'esecuzione del payload rshell all'interno del processo FIXED.

I flag di injection 0x100 sono impostati su true e 0x20 su false

Inietta rshell in un file eseguibile di sistema legittimo sospeso (ad esempio, MSBuild.exe) localizzato analizzando l'header .NET per il percorso CLR. Il payload viene corretto in memoria prima di essere eseguito prendendo il controllo del contesto del thread e cancella i suoi header PE.

I flag di injection 0x4 e 0x80 sono entrambi true.

Abbandona condizionatamente il modulo FIXED, quindi memorizza il payload di rshell in un file transazionale di rollback (tinystub). Lo inserisce nel processo FIXED sospeso tramite la mappatura delle sezioni. L'esecuzione viene attivata prendendo il controllo del contesto del thread, seguita da una possibile cancellazione dell'header PE.

I flag di injection 0x4 sono true e 0x80 è false.

HijackLoader avvia un processo sospeso, crea e mappa direttamente una nuova sezione di memoria al suo interno, e poi scrive il modulo rshell patchato in questa sezione. L'esecuzione viene attivata prendendo il controllo del contesto del thread principale per eseguire il codice rshell.

I flag di injection 0x4 sono false e 0x10 è true.

Esegue il process hollowing avviando il modulo FIXED, cancellando la sezione di memoria principale e quindi copiando il payload. Scrive l'header "MZ" in due chiamate separate. Infine, inserisce il modulo rshell patchato, modifica il PEB e opzionalmente cancella l'header PE del payload.

Il tipo di injection è impostato su 4

Inserisce il payload principale e il modulo rshell tramite la mappatura delle sezioni. Una sezione viene creata e popolata localmente con rshell e payload patchati, quindi mappata in un processo di destinazione sospeso (un binario nativo del sistema o un modulo CUSTOMINJECT). L'esecuzione viene attivata prendendo il controllo del contesto del thread principale per indicare il punto di ingresso rshell.

Conclusione

Gli utenti nelle regioni LATAM sono sempre più spesso bersaglio di e-mail che si spacciano per enti governativi o giudiziari, con contenuti che spesso generano un senso di urgenza. X-Force osserva campagne che includono regolarmente un collegamento incorporato o allegati ZIP che indirizzano le vittime verso downloader dannosi. Tra agosto e ottobre 2025, X-Force ha osservato diverse e-mail rivolte a utenti probabilmente residenti in Colombia, con e-mail che imitavano l'ufficio del Procuratore Generale della Colombia con il download ufficiale di documenti. Hijackloader è un malware modulare dotato di meccanismi di evasione e persistenza, distribuito agli utenti principalmente come file di archivio ZIP o RAR. Gli archivi contengono un file DLL dannoso che viene trasferito lateralmente e utilizzato per distribuire payload aggiuntivi. Queste e-mail, probabilmente parte di una singola campagna, sono significative perché gli attori utilizzano Hijackloader per consegnare il RAT PureHVNC, una combinazione non precedentemente osservata da X-Force.

Raccomandazioni

  • Abilita la visualizzazione delle estensioni dei file.
  • Esamina la necessità operativa di consentire il traffico da e verso i domini DuckDNS.
  • Fai attenzione nell'aprire allegati di e-mail e cliccare su link incorporati provenienti da fonti non affidabili o sconosciute.
  • Cerca processi, traffico di rete e IoC dettagliati in questo rapporto.
  • Installa, aggiorna e configura il software di sicurezza degli endpoint.
  • Monitora le regole degli endpoint

Indicatori di compromissione

Indicatore

Tipo di indicatore

Contesto

troquelesmyj[@]gmail.com

E-mail

E-mail del mittente

nuevos777[.]duckdns[.]org

Dominio

Dominio C2

7octubredc[.]duckdns[.]org

Dominio

Dominio C2

dckis13[.]duckdns[.]org

Dominio

Dominio C2

dckis7[.]duckdns[.]org

Dominio

Dominio C2

enviopago[.]mysynology[.]net

Dominio

Dominio C2

maximo26[.]duckdns[.]org

Dominio

Dominio C2

sofiavergara[.]duckdns[.]org

Dominio

Dominio C2

hxxps[:]//drive[.]google[.]com
/file/d/1haApB_GMwZb83nw1
YPdIDTLMtksRjkh/view?pli=1

URL

Host SVG

hxxps[:]//drive[.]google[.]com/
file/d/1wzunPhL33jq_ZQug6k0
3hgxi4Eu57VfN/view?usp=sharing

URL

Host SVG

e7120d45ee357f30cb602c0d93
ed8d366f4b11c251c2a3cd4753c5
508c3b15e5

SHA256

ZIP

7e64102405459192813541448c8
fbadc481997a2065f26c848f1e35
94ca404c9

SHA256

RAR

14becb3a9663128543e1868d09
611bd30a2b64c655dfb407a727a
7f2d0fb8b7e

SHA256

Hijackloader

57c49cff3e71bc75641c78a5a72d
8509007a18032510f607c042053
c9d280511

SHA256

Hijackloader

7c3d9ad3f1bd890e3552dc6709
3e161395d4e1fab79ec745220af1
e19a279722

SHA256

Hijackloader

ce42377d3d26853fd1718f69341
c0631208138490decc8e71a5622
df5e9e1f59

SHA256

Hijackloader

a0e4979b4e4a706286438d48f
0e21b0d92cc7bd40c1c3ea5b98
72089aaec0124

SHA256

Hijackloader

6d93a486e077858b75eb814e
9a7bda181189d5833adce7cec7
5775cfda03f514

SHA256

Hijackloader

bdca9849d7263d508b7ed4db
bf86bd628932b117b45933cb28
a7e78171d05cdd

SHA256

Hijackloader

1ae61edf35127264d329b7c0e2
bddb7077e34cc5f9417de86ab
6d2d65bad4b4f

SHA256

Hijackloader

2ec31a8a36d73fa8354a7ac0c
39506dbe12638a0dc1b900f5
7620b8d53ae987f

SHA256

Hijackloader

776bbaa44c7788e0ccd5945
d583de9473b6246c4490669
2cb0a52e6329cb213a

SHA256

Hijackloader

9e9997b54da0c633ffcf0a4fb
94e67b482cf7a89522d1b254
778d0c6c22c70ee

SHA256

Hijackloader

b2f733b67f1ef06d9e5ce76d3
cc848f6e7e3ec2d0c363c76d
5175c6cf85f979b

SHA256

Hijackloader

c93e70d20ba2948a6a8a013
df68e5c4d14d59e5f549417d
1a76833bd1c8efd22

SHA256

Hijackloader

d550a2a327394148c0c3d05
df2fe0156783fc313b4038e45
4f9aa2cb2f0f2090

SHA256

Hijackloader

e668ca17fcdfa818aac35f1206
4d10a0288d7d9c6b688966b
695125b760567d6

SHA256

Hijackloader

fe6d0ee45a70359008b2916
e5116c411a955978b5694cc4
57683ab7b26590e47

SHA256

Hijackloader

977f2f18ff13c93406c5702f83
c04a9412760e02028aefc7c1c
b7d6f2797a9b5

SHA256

Hijackloader

768ca38878c5bb15650343ce
49292315a9834eaf62fad1442
2d52510c3787228

SHA256

Hijackloader

47245b7d2d8cb6b92308deb
80399e0273193d5bca39da8
5a6b2a87a109d18d85

SHA256

Hijackloader

4484b0ac51536890301a0e6
573b962e069e31abc4c0c6f0
f6fc1bf66bf588a93

SHA256

Hijackloader

0113d9f3d93069a29458b3b4
c33610aae03961014df60a9e8
59f3104086d886a

SHA256

Hijackloader

22d474e729d600dcd84ce139
f6208ce3e3390693afa7b52b0
615174fca6d0fe2

SHA256

Hijackloader

2cbfc482e27a2240a48d2fb6f
6f740ff0f08598f83ae643a507
c6f12a865dc28

SHA256

Hijackloader

96ee786c5b6167c0f0f770efba
ce25e97d61e127ef7f58a879b6c
f4b57e202c3

SHA256

Hijackloader

33d0c63777882c9ec514be06
2612a56fdb1f291fcb6676c494
80d3cd4501c508

SHA256

PureHVNC

afecefa6d9bd1e6d1c9214420
9eda320e1fe0f196ffa8e8bc114
e7d3a25503f6

SHA256

PureHVNC

85641c8fb94e8e4c5202152dc
bb2bb26646529290d984988
ecb72e18d63c9bc5

SHA256

PureHVNC

1bf3a1cf9bc7eded0b8994d44
cf2b801bf12bc72dc23fb337dd
d3a64ac235782

SHA256

PureHVNC

IBM X-Force Premier Threat Intelligence è ora integrato con OpenCTI di Filigran, offrendo threat intelligence attuabile su questa attività di minaccia e altro ancora. Accedi a insight su attori delle minacce, malware e rischi dei settori. Installa il connettore X-Force OpenCTI per migliorare il rilevamento e la risposta, rafforzando la tua cybersecurity con l'esperienza di IBM X-Force. Ottieni oggi stesso un prova di 30 giorni di X-Force Premier Threat Intelligence!

https://www.ibm.com/it-it/privacy
