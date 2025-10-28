Tra agosto e ottobre 2025, IBM X-Force ha osservato diverse e-mail indirizzate a persone probabilmente colombiane, di lingua spagnola, con temi relativi all'ufficio del Procuratore Generale della Colombia. Le e-mail inducono l'utente a scaricare un "documento ufficiale" dal sistema informativo giudiziario, che avvia la catena di infezione tramite l'esecuzione di un file eseguibile Hijackloader che porta al trojan di accesso remoto (RAT) PureHVNC.
Tra agosto e ottobre 2025, X-Force ha osservato diverse e-mail rivolte a utenti probabilmente residenti in Colombia, con e-mail che imitavano l'ufficio del Procuratore Generale della Colombia con il download ufficiale di documenti. Le e-mail hanno l'obiettivo di utilizzare Hijackloader per consegnare diversi payload, incluso PureHVNC. Hijackloader non è stato ampiamente utilizzato in campagne rivolte a utenti dell'America Latina (LATAM), e precedentemente X-Force non aveva osservato campagne rivolte a utenti LATAM per la consegna di PureHVNC. Nel 2024, ci sono dettagli sull'utilizzo di Hijackloader per caricare RemcosRAT in campagne rivolte ai clienti di CrowdStrike, probabilmente provenienti da paesi dell'America Latina (in base ai nomi dei file e alle istruzioni in spagnolo). La distribuzione del RAT PureHVNC è interessante in quanto X-Force non ha mai osservato in precedenza campagne in cui PureHVNC fosse distribuito a utenti di lingua spagnola. Il RAT PureHVNC fa parte di un set di strumenti venduti da PureCoder. Gli strumenti dannosi sono facilmente reperibili sul dark web, nei forum underground e su Telegram.
Agli utenti viene presentata un'e-mail che pretende di essere una corrispondenza ufficiale relativa all'ufficio del Procuratore Generale della Colombia. L'e-mail afferma che una causa è stata intentata da un ex dipendente ed è in fase di elaborazione presso i tribunali del lavoro. Allegato all'e-mail c'è un file SVG, che viene aperto dalla vittima su Google Drive. Nella maggior parte dei casi, l'anteprima del documento è visibile ed è pronta per il download cliccando sul pulsante di download. In un caso, alla vittima è stato mostrato il messaggio "Impossibile visualizzare l'anteprima del file" e un pulsante per il download, che apriva il file su Google Drive. In ogni caso, mentre ci si trova su Google Drive, cliccando in un punto qualsiasi del documento verrà scaricato un file di archivio ZIP e alla vittima verrà presentata una pagina "Download completato" contenente una password come "KC4SX87". Il file ZIP contiene diversi file aggiuntivi, uno dei quali è un file eseguibile per il quale l'utente ha bisogno della password per poterlo eseguire se cliccato. Facendo clic sul file EXE si avvia la catena di infezione, tramite la quale Hijackloader viene utilizzato per implementare diversi payload, tra cui PureHVNC.
Fase 1 del malware: DLL side-loading
Hijackloader utilizza una tecnica chiamata DLL side-loading, che sfrutta l'ordine di ricerca di Windows per individuare le librerie necessarie all'esecuzione di un file DLL dannoso. Hijackloader utilizza un file javaw.exe legittimo che è stato rinominato con un nome a tema giudiziario (02 BOLETA FISCAL.exe). Poiché una delle dipendenze di javaw.exe è JLI.dll, Hijackloader inserisce una versione modificata di JLI.dll nella stessa directory. Quando viene avviato il file javaw.exe rinominato, il sistema operativo carica anche il file DLL dannoso dalla directory locale.
La funzione principale del file dannoso JLI.dll è caricare il payload di seconda fase, MSTH7EN.dll. Lo fa chiamando l'API LoadLibraryW(), che carica MSTH7EN.dll nello spazio di indirizzo del processo. La chiamata API restituisce l'indirizzo base dell'immagine del file DLL appena caricato. Questo indirizzo viene quindi aggiunto a un offset specifico per calcolare il punto di ingresso del codice dannoso in MSTH7EN.dll.
Fase 2 del malware: fase di caricamento
Il payload della seconda fase inizia con l'inizializzazione. Per evitare il rilevamento, carica e risolve dinamicamente tutte le librerie e le API necessarie. Una volta completato, verifica che la directory operativa corrente corrisponda alla posizione di Hijackloader, assicurando che il payload di terza fase possa essere correttamente riferito e caricato.
Il payload di terza fase contiene una configurazione di malware crittografata con i seguenti componenti:
Al momento della decrittazione, la configurazione del malware contiene informazioni, come le seguenti:
Lo shellcode viene quindi caricato in vssapi.dll, che è il file DLL specificato nella configurazione del malware. Questo avviene chiamando VirtualProtect() per modificare la protezione della memoria della sezione .text del file DLL in PAGE_EXECUTE_READWRITE. Infine, lo shellcode viene copiato su questo indirizzo scrivibile e il flusso di esecuzione viene trasferito ad esso.
Lo shellcode agisce come loader, ma prima calcola gli hash dei nomi dei processi in esecuzione nel sistema e li confronta con i valori specificati nella configurazione del malware. Se viene trovata una corrispondenza, il malware utilizza l'API NtDelayExecution() per bloccare la propria esecuzione.
Successivamente, legge il contenuto di Plagkeg.zk. Il contenuto di questo file è costituito da un'altra configurazione malware criptata e dai moduli di HijackLoader. I dati sono suddivisi in più blocchi, con il blocco iniziale che contiene le seguenti informazioni:
I blocchi successivi seguono questa struttura:
Per assemblare questi blocchi, HijackLoader scorre i dati crittografati cercando il pattern "???? IDAT", dove i punti interrogativi agiscono come caratteri jolly. Una volta trovata una corrispondenza, verifica se i quattro byte immediatamente successivi al pattern sono uguali a 0xC6A579EA. Questo conferma che è stato trovato il blocco iniziale, che è importante perché contiene la dimensione totale dello shellcode e la chiave di decrittazione. Se il valore corrisponde, HijackLoader memorizza i byte dello shellcode in un buffer. Il processo viene ripetuto per tutti i blocchi successivi, con i byte dello shellcode aggiunti allo stesso buffer, fino a quando non si trovano più pattern corrispondenti.
Una volta fatto, il buffer contenente lo shellcode crittografato viene decifrato utilizzando un cifrario XOR e poi decompresso con l'algoritmo LZNT1. Il risultato è una struttura che contiene varie informazioni, come il payload finale, la struttura del modulo, ecc.
Fase 3 del malware: ti64 - modulo principale
La funzionalità di HijackLoader è suddivisa in moduli. Alcuni contengono codice eseguibile, mentre altri sono semplicemente informazioni utilizzate come riferimento. Un esempio di ciò è il modulo COPYLIST, che contiene l'elenco dei nomi di file relativi a questa variante di HijackLoader. Secondo il rapporto di Trellix, alcune varianti di HijackLoader supportano fino a 40 moduli, ma il campione analizzato per questo rapporto ne supporta solo 35. Non tutti i moduli vengono eseguiti e il loro utilizzo dipende dai flag specificati nella configurazione del malware.
La tabella seguente riassume il nome di ciascun modulo e il suo scopo:
HijackLoader scorre queste strutture e converte ogni nome modulo in un hash utilizzando un algoritmo personalizzato. Una volta trovata la corrispondenza per il modulo "ti64", calcola un puntatore al codice del modulo aggiungendo l'offset dei dati alla base dell'array di dati del modulo. Questo puntatore viene quindi restituito e utilizzato come riferimento allo shellcode di "ti64".
Successivamente, il malware esegue un'altra operazione di svuotamento del file DLL per iniettare lo shellcode del modulo "ti64". L'obiettivo è un file DLL specificato nella configurazione decriptata in precedenza, che in questo caso è pla.dll.
Nome del modulo
Hash
Scopo
AVDATA
0x78B783CA
Contiene hash dei processi relativi ai prodotti di sicurezza
ESAL
0x757C9405
Pulisce i dati in memoria di hijackloader ed esegue il payload finale
ESLDR
0xE7794E15
Utilizzato per iniettare ed eseguire shellcode correlato a HijackLoader
ESWR
0x93EB1CB1
Cancella i dati dello shellcode ed esegue il modulo rshell
FIXED
0x699D0C82
File PE legittimo utilizzato per inserire codice nel suo processo
LauncherLdr64
0xF4F141C2
Decifra i file di configurazione memorizzati sul disco
modCreateProcess
0x696F778F
Utilizzato per eseguire un file
modTask
0x3115355E
Crea persistenza utilizzando un'attività programmata
modUAC
0xC64EBFDA
Utilizzato per l'escalation dei privilegi
modWriteFile
0xFCE82FC1
Gestisce la creazione di file su disco
rshell
rshell64
0x74984889
Esegue il payload finale
ti
ti64
0x3EE477F1
Serve come shellcode principale che esegue tutti gli altri moduli
TinyCallProxy
0x455CBBC3
Agisce come proxy per eseguire chiamate API
tinystub
0x4EACE798
Contiene un file eseguibile fittizio, che viene utilizzato per il patching durante il processo di esecuzione del payload finale
tinyutilitymodule.dll
0xA1D724FC
Sovrascrive gli header PE di un file specificato con byte nulli
SM
0xD8222145
Contiene il nome del file DLL di sistema utilizzato nello spoofing dello stack di chiamate o nell'injection di shellcode
COPYLIST
0x1AE7700A
Un elenco di nomi di file da copiare o eliminare
CUSTOMINJECT
0x6703F815
Contiene un file eseguibile legittimo che viene utilizzato per inserire codice nella memoria del processo. Il processo viene creato in un percorso personalizzato specificato dal modulo CUSTOMINJECTPATH
CUSTOMINJECTPATH
0x192A4446
Contiene un percorso file utilizzato per creare il file legittimo nel modulo CUSTOMINJECT
X64L
0xCB5B9F3F
Modulo che viene inserito in un processo per fungere da proxy di injection
WDUACDATA
0x4D75088D
Contiene la stringa usata per eseguire comandi tramite cmd
WDDATA
0xB718A6AE
Contiene un comando PowerShell per aggiungere un'esclusione di Windows Defender Antivirus
PERSDATA
0xA2E0AB5D
Contiene la configurazione usata dal modulo modTask per creare attività programmate
MUTEX
0x1999709F
Contiene il nome mutex da controllare
Il modulo modUAC, come gli altri moduli, utilizza TinycallProxy per chiamare le API. Se il primo DWORD del modulo UACDATA è 2, utilizza "runas" per elevare i propri privilegi. Altrimenti, utilizza l'interfaccia COM CMSTPLUA per bypassare UAC.
In alcune varianti, HijackLoader utilizza una tecnica chiamata "stack spoofing" per mascherare l'origine delle chiamate API e di sistema. Lo fa utilizzando il registro del puntatore di base (EBP) per navigare nello stack, seguendo la catena di puntatori EBP per recuperare l'indirizzo di ritorno da ogni frame dello stack. Se un indirizzo di ritorno non è presente nella sezione .text di ntdll.dll o kernelbase.dll, HijackLoader lo memorizza per dopo. Questo processo si ripete fino a raggiungere il limite dello stack o fino a quando non si trovano tre indirizzi di ritorno consecutivi all'interno di quelle librerie di sistema.
Successivamente, esegue lo spoofing dello stack di chiamate sovrascrivendo gli indirizzi di ritorno legittimi salvati con indirizzi falsi. Ogni indirizzo falso viene generato selezionando un'esportazione casuale da un file DLL specificato dal modulo SM (in questo caso, dcd9.dll) e aggiungendo un offset casuale, assicurando che il puntatore finale si trovi nella sezione .text di quel modulo. Heaven's Gate viene poi utilizzato per eseguire il syscall. Immediatamente dopo il completamento della chiamata, gli indirizzi dello stack originali vengono ripristinati.
Le varianti più recenti, tuttavia, utilizzano una tecnica diversa. Invece di falsificare lo stack, HijackLoader carica il file DLL di destinazione specificato dal modulo SM tramite LoadLibraryW(). Successivamente salva il codice da un offset casuale all'interno di quel file DLL in un buffer temporaneo e lo sostituisce con lo shellcode del modulo TinyCallProxy64, progettato per chiamare l'API specificata. Una volta terminata la chiamata, viene ripristinato il codice originale pulito.
HijackLoader utilizza queste tecniche per un numero selezionato di funzioni che probabilmente saranno monitorate da software AV, come ZwProtectVirtualMemory e ZwGetContextThread.
Tecnica
Descrizione
Controllo anti-debugging basato sul tempo
Utilizza una tecnica di evasione basata sul tempo misurando la latenza dell'istruzione cpuid. Avvolge la chiamata cpuid con istruzioni rdtsc all'interno di un ciclo e, se il tempo di esecuzione supera una soglia specificata, rileva la presenza di un debugger o di una macchina virtuale.
Controllo dell'hypervisor
Esegue un controllo anti-VM standard eseguendo l'istruzione cpuid e controllando il "bit hypervisor" (bit 31) nel registro ECX restituito. Se questo bit è impostato su 1, indica la presenza di un hypervisor.
Controllo dell'ID del fornitore
Esegue un controllo anti-VM interrogando la leaf di informazioni dell'hypervisor (0x40000000). Un valore di ritorno in EAX maggiore o uguale a 0x40000000 indica la presenza di leaf CPUID specifiche per hypervisor attive.
Controllo della RAM totale
Esegue un controllo anti-sandbox interrogando la RAM fisica totale. Chiama NtQuerySystemInformation per calcolare la memoria totale in gigabyte (spostando il conteggio dei byte a destra di 30) e termina se il risultato è inferiore a 4 GB.
Controllo del numero di processori
Effettua un controllo anti-sandbox interrogando il numero di core CPU. Chiama NtQuerySystemInformation per ottenere il NumberOfProcessors e lo confronta con il valore specificato nella configurazione del modulo ANTIVM.
Controllo del nome utente
Confronta il nome utente dell'utente corrente con il valore specificato nel modulo ANTIVM.
Controllo del nome del computer
Controlla se il nome del computer è composto solo da numeri.
Controllo della directory operativa attuale
Controlla se il percorso attuale del modulo è sul desktop.
Un controllo anti-virtualizzazione fallito comporta la terminazione del processo tramite una chiamata a ZwTerminateProcess().
La routine di unhooking confronta la sezione .text del file ntdll.dll attualmente caricato rispetto a una copia pulita e mappata. Scansiona le istruzioni call (0xE8) e jmp (0xE9) e rileva un hook se il tipo di istruzione o l'indirizzo di destinazione differisce tra le due versioni. Se viene trovato un hook, il malware corregge il file ntdll.dll in memoria ripristinando i byte originali e puliti.
Il meccanismo di persistenza di HijackLoader è controllato anche dalla sua configurazione. Il comportamento è dettato da un flag:
Oltre a questi flag, HijackLoader può creare un altro meccanismo di persistenza controllando la presenza di un modulo PERSDATA . Questo modulo contiene i dati di configurazione necessari, come il nome dell'attività, per creare una seconda attività programmata.
Tipo di injection
Descrizione
Se il file da inserire è un DLL o i flag di injection sono inferiori a 0x3
Il payload finale verrà eseguito nello stesso processo, quindi il payload DLL verrà mappato nel file DLL svuotato.
Se il payload finale non è un file .NET/CLR, i flag di injection 0x20 è false e 0x80 è true
Nasconde il payload di rshell in un PE tinystub fittizio, utilizzando una transazione NTFS di tipo rollback. Successivamente mappa questo PE nascosto in un processo sospeso (FIXED), dove il modulo ESWR prende il controllo del contesto del thread principale per eseguire il codice rshell.
Se il payload finale non è un file .NET/CLR, i flag di injection 0x20 e 0x80 sono entrambi false
Il modulo FIXED viene salvato su disco e creato come processo sospeso. Il modulo ESWR viene quindi utilizzato per attivare l'esecuzione del payload rshell all'interno del processo FIXED.
I flag di injection 0x100 sono impostati su true e 0x20 su false
Inietta rshell in un file eseguibile di sistema legittimo sospeso (ad esempio, MSBuild.exe) localizzato analizzando l'header .NET per il percorso CLR. Il payload viene corretto in memoria prima di essere eseguito prendendo il controllo del contesto del thread e cancella i suoi header PE.
I flag di injection 0x4 e 0x80 sono entrambi true.
Abbandona condizionatamente il modulo FIXED, quindi memorizza il payload di rshell in un file transazionale di rollback (tinystub). Lo inserisce nel processo FIXED sospeso tramite la mappatura delle sezioni. L'esecuzione viene attivata prendendo il controllo del contesto del thread, seguita da una possibile cancellazione dell'header PE.
I flag di injection 0x4 sono true e 0x80 è false.
HijackLoader avvia un processo sospeso, crea e mappa direttamente una nuova sezione di memoria al suo interno, e poi scrive il modulo rshell patchato in questa sezione. L'esecuzione viene attivata prendendo il controllo del contesto del thread principale per eseguire il codice rshell.
I flag di injection 0x4 sono false e 0x10 è true.
Esegue il process hollowing avviando il modulo FIXED, cancellando la sezione di memoria principale e quindi copiando il payload. Scrive l'header "MZ" in due chiamate separate. Infine, inserisce il modulo rshell patchato, modifica il PEB e opzionalmente cancella l'header PE del payload.
Il tipo di injection è impostato su 4
Inserisce il payload principale e il modulo rshell tramite la mappatura delle sezioni. Una sezione viene creata e popolata localmente con rshell e payload patchati, quindi mappata in un processo di destinazione sospeso (un binario nativo del sistema o un modulo CUSTOMINJECT). L'esecuzione viene attivata prendendo il controllo del contesto del thread principale per indicare il punto di ingresso rshell.
Gli utenti nelle regioni LATAM sono sempre più spesso bersaglio di e-mail che si spacciano per enti governativi o giudiziari, con contenuti che spesso generano un senso di urgenza. X-Force osserva campagne che includono regolarmente un collegamento incorporato o allegati ZIP che indirizzano le vittime verso downloader dannosi. Tra agosto e ottobre 2025, X-Force ha osservato diverse e-mail rivolte a utenti probabilmente residenti in Colombia, con e-mail che imitavano l'ufficio del Procuratore Generale della Colombia con il download ufficiale di documenti. Hijackloader è un malware modulare dotato di meccanismi di evasione e persistenza, distribuito agli utenti principalmente come file di archivio ZIP o RAR. Gli archivi contengono un file DLL dannoso che viene trasferito lateralmente e utilizzato per distribuire payload aggiuntivi. Queste e-mail, probabilmente parte di una singola campagna, sono significative perché gli attori utilizzano Hijackloader per consegnare il RAT PureHVNC, una combinazione non precedentemente osservata da X-Force.
Indicatore
Tipo di indicatore
Contesto
troquelesmyj[@]gmail.com
E-mail del mittente
nuevos777[.]duckdns[.]org
Dominio
Dominio C2
7octubredc[.]duckdns[.]org
Dominio
Dominio C2
dckis13[.]duckdns[.]org
Dominio
Dominio C2
dckis7[.]duckdns[.]org
Dominio
Dominio C2
enviopago[.]mysynology[.]net
Dominio
Dominio C2
maximo26[.]duckdns[.]org
Dominio
Dominio C2
sofiavergara[.]duckdns[.]org
Dominio
Dominio C2
hxxps[:]//drive[.]google[.]com
URL
Host SVG
hxxps[:]//drive[.]google[.]com/
URL
Host SVG
e7120d45ee357f30cb602c0d93
SHA256
ZIP
7e64102405459192813541448c8
SHA256
RAR
14becb3a9663128543e1868d09
SHA256
Hijackloader
57c49cff3e71bc75641c78a5a72d
SHA256
Hijackloader
7c3d9ad3f1bd890e3552dc6709
SHA256
Hijackloader
ce42377d3d26853fd1718f69341
SHA256
Hijackloader
a0e4979b4e4a706286438d48f
SHA256
Hijackloader
6d93a486e077858b75eb814e
SHA256
Hijackloader
bdca9849d7263d508b7ed4db
SHA256
Hijackloader
1ae61edf35127264d329b7c0e2
SHA256
Hijackloader
2ec31a8a36d73fa8354a7ac0c
SHA256
Hijackloader
776bbaa44c7788e0ccd5945
SHA256
Hijackloader
9e9997b54da0c633ffcf0a4fb
SHA256
Hijackloader
b2f733b67f1ef06d9e5ce76d3
SHA256
Hijackloader
c93e70d20ba2948a6a8a013
SHA256
Hijackloader
d550a2a327394148c0c3d05
SHA256
Hijackloader
e668ca17fcdfa818aac35f1206
SHA256
Hijackloader
fe6d0ee45a70359008b2916
SHA256
Hijackloader
977f2f18ff13c93406c5702f83
SHA256
Hijackloader
768ca38878c5bb15650343ce
SHA256
Hijackloader
47245b7d2d8cb6b92308deb
SHA256
Hijackloader
4484b0ac51536890301a0e6
SHA256
Hijackloader
0113d9f3d93069a29458b3b4
SHA256
Hijackloader
22d474e729d600dcd84ce139
SHA256
Hijackloader
2cbfc482e27a2240a48d2fb6f
SHA256
Hijackloader
96ee786c5b6167c0f0f770efba
SHA256
Hijackloader
33d0c63777882c9ec514be06
SHA256
PureHVNC
afecefa6d9bd1e6d1c9214420
SHA256
PureHVNC
85641c8fb94e8e4c5202152dc
SHA256
PureHVNC
1bf3a1cf9bc7eded0b8994d44
SHA256
PureHVNC
