新型恶意软件加载器采用调用栈欺骗、GitHub C2 与.NET Reactor实现隐蔽攻击

网络安全研究人员发现，一款名为 Hijack Loader 的恶意软件更新了其功能，采用了调用栈欺骗技术、GitHub 命令与控制（C2）以及 .NET Reactor 加固技术，以提升隐蔽性并在受感染系统上实现持久化。

据 Zscaler ThreatLabz 的研究员 Muhammed Irfan V A 分析，最新模块利用调用栈欺骗技术隐藏 API 及系统调用的真实来源，“该技术通过一系列 EBP 指针遍历调用栈，将实际的堆栈帧替换为伪造的帧，从而掩盖恶意调用的痕迹。”此外，新版本还加入了反虚拟机模块，用于检测沙箱和恶意分析环境。

最早于 2023 年被发现的 Hijack Loader，支持下达第二阶段的恶意负载（如信息窃取器），同时集成了多种绕过安全软件和注入恶意代码的模块。该工具也被业界称为 DOILoader、GHOSTPULSE、IDAT Loader 或 SHADOWLADDER。

2024 年 10 月，HarfangLab 与 Elastic Security Labs 分析了 Hijack Loader 的攻击活动，该系列攻击利用了合法的代码签名证书和“ClickFix”分发策略。新版加载器相比之前有诸多改进，最突出的是利用调用栈欺骗技术来掩盖 API 和系统调用的真正来源，这一手法最近也被另一款恶意软件 CoffeeLoader 采用。

与之类似，Hijack Loader 仍然利用 Heaven’s Gate 技术来执行 64 位系统调用，从而实现进程注入。同时，其黑名单中新增了“avastsvc.exe”（Avast 杀毒服务）的进程，并在启动时延迟 5 秒钟，以进一步迷惑安全防护措施。

此外，Hijack Loader 新增了两项功能模块：一是 ANTIVM 模块用于检测虚拟机环境，二是 modTask 模块通过计划任务建立持久性。

与此同时，Elastic Security Labs 还披露了一个名为 SHELBY 的恶意软件家族，其利用 GitHub 作为命令与控制、数据外传和远程控制的平台。该攻击链始于一封针对伊拉克一家电信公司的定向钓鱼邮件，邮件附件中包含了一个 .NET 二进制文件，该文件通过 DLL 侧加载技术执行一个名为 SHELBYLOADER 的载荷（“HTTPService.dll”）。

载荷启动后，会与 GitHub 进行通信，从攻击者控制的仓库中提取一个特定的 48 字节数值，用以生成 AES 解密密钥，从而解密并在内存中加载主后门程序（“HTTPApi.dll”），且不在磁盘上留下明显痕迹。Elastic 指出，SHELBYLOADER 同时运用沙箱检测技术，识别虚拟化或监控环境，并将检测结果作为日志返回给 C2。后门程序 SHELBYC2 则会解析存放在“Command.txt”文件中的指令，执行文件上传下载、反射式加载 .NET 二进制代码以及 PowerShell 命令。值得注意的是，其 C2 通信通过使用嵌入在二进制文件中的个人访问令牌（PAT）向私有仓库提交 commit 实现，这也意味着任何拥有该 PAT 的人理论上都可获取攻击者下发的指令以及受感染机器的命令输出。

此外，近期还发现一种以“Emmenhtal Loader”（又名 PEAKLIGHT）命名的恶意软件，通过支付主题的钓鱼邮件分发，用于传递另一款恶意软件 SmokeLoader。GDATA 指出，该 SmokeLoader 样本采用了 .NET Reactor——一款商用 .NET 加固工具用于混淆和打包，其反分析能力与 Themida、Enigma Protector 以及自定义加密工具不相上下。这表明，恶意软件家族（尤其是窃密型和加载器类）正在逐步采用 .NET Reactor 等商业工具来提高隐蔽性和防分析能力。