劫持加载程序：一种使用合法证书的新恶意活动

法国 HarfangLab 公司的研究人员发现了一种新的恶意活动，该活动使用合法的数字签名证书分发 Hijack Loader。

https://harfanglab.io/insidethelab/hijackloader-abusing-genuine-certificates/

感染链概览

该恶意活动于 10 月初被发现，旨在安装名为 Lumma 的数据窃取程序。

Hijack Loader也称为DOILoader和SHADOWLADDER，于 2023 年 9 月首次为人所知。

它通过以盗版软件或电影为幌子下载虚假文件进行传播。

新版本的攻击将用户引导至伪造的验证码页面，提示他们输入并执行恶意 PowerShell 命令来下载受感染的存档。

自今年 9 月中旬以来，HarfangLab 已观察到恶意 PowerShell 脚本的三个变体。

其中包括使用“mshta.exe”和“msiexec.exe”执行代码并从远程服务器下载恶意数据的脚本。

受害者下载的存档包含合法的可执行文件和加载 Hijack Loader 的恶意 DLL。

恶意文件解密并执行加密数据，旨在下载并启动第二阶段信息窃取程序。

自 2024 年 10 月以来，攻击者开始使用签名的二进制文件而不是 DLL来避免被防病毒程序检测。

虽然尚不清楚是否所有证书都被盗，但专家认为其中一些证书可能是由攻击者生成的。

据报道，用于签署恶意软件的证书已被撤销。

SonicWall 最近还报告称，有针对性的攻击有所增加，这些攻击允许 Windows 被感染，但使用的是 CoreWarrior 恶意软件，该木马通过创建自身的多个副本并创建用于远程访问的后门来快速传播。

使用合法的数字签名来传播恶意软件表明，即使是传统的安全方法也可以成为攻击者手中的有效工具。

这凸显了持续改进网络安全并对任何可疑活动保持警惕的重要性，即使这些活动看似无害。

原文始发于微信公众号（网络研究观）：劫持加载程序：一种使用合法证书的新恶意活动