Claimloader는 지난 몇 년 동안 크게 발전한 로더 제품군입니다. 여기에는 암호화된 셸코드 페이로드가 포함되어 있으며, 이 페이로드는 런타임에 해독되어 주입됩니다. 이전 블로그에서는 Hive0154에서 사용된 이전 변형에 대한 자세한 기술 세부 정보를 제공합니다.

첫 번째 실행에서 Claimloader는 새 뮤텍스 개체를 생성하여 Claimloader의 단일 인스턴스만 실행되도록 하는 것으로 시작합니다. 그런 다음 자신과 DLL 사이드로딩에 사용되는 해당 프로세스의 EXE를 다음과 같은 새 이름으로 새 디렉토리로 이동합니다.

C:\ProgramData\AdobeLicensingPlugin\WF_Adobe_licensing_helper.exe

C:\ProgramData\AdobeLicensingPlugin\libjyy.dll

다음으로, Claimloader는 API SHSetValueA()를 사용하여 아래 레지스트리 키를 통해 EXE에 대한 지속성을 설정합니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

이로 인해 현재 사용자가 시스템에 로그온할 때마다 EXE가 실행됩니다. 이 프로세스는 "라이선싱"과 같이 미리 정의된 인수를 사용하여 실행되며, 이 인수는 Claimloader의 주요 기능을 호출하는 데 사용됩니다.

지정된 인수를 사용하여 두 번째 Claimloader를 실행하면 최신 Claimloader 변형이 트리플DES 알고리즘을 통해 내장된 페이로드의 암호를 해독하기 시작합니다. 이 알고리즘은 2025년 4월 말부터 Claimloader 변형에서만 관찰되었습니다. 업데이트된 변형은 또한 XOR 암호화 API 이름과 네이티브 API인 LdrLoadDll() 및 LdrGetProcedureAddress()를 사용하여 가져오기를 동적으로 해결합니다.

5초 동안 휴면 상태인 후 Claimloader는 메모리에 새 실행 버퍼를 할당하고 셸코드 페이로드를 메모리에 복사합니다. 멀웨어는 10초 더 휴면한 다음 API의 GetDC() 및 EnumFontsW()를 호출하여 진입점을 콜백 함수로 전달하여 메모리에서 페이로드를 실행하는 데 사용합니다.