新型恶意软件加载器采用调用栈欺骗、GitHub C2 与 .NET Reactor 实现隐蔽攻击

2025-11-26 21:15:02分类：数据库阅读(377)

网络安全研究人员发现名为Hijack Loader的新型现隐恶意软件加载器推出新版本，通过新增功能逃避检测并在受感染系统中建立持久化驻留。恶意Zscaler ThreatLabz研究员Muhammed Irfan V A在分析报告中指出："Hijack Loader新增调用栈欺骗模块，软件用于隐藏函数调用（如API和系统调用）的加载击原始来源。该加载器还添加了反虚拟机检测模块，器采欺骗可识别恶意软件分析环境和沙箱。用调用栈"

Hijack Loader最早于2023年被发现，蔽攻具备投放信息窃取类恶意软件等第二阶段有效载荷的新型现隐能力。该加载器配备多种模块，恶意可绕过安全软件并注入恶意代码。软件网络安全社区将其追踪为DOILoader、加载击GHOSTPULSE、器采欺骗IDAT Loader和SHADOWLADDER等别名。用调用栈

2024年10月，源码下载蔽攻HarfangLab与Elastic安全实验室曾详细披露Hijack Loader攻击活动，新型现隐其利用合法代码签名证书及臭名昭著的ClickFix策略进行传播。最新版本较前代有多项改进，最显著的是新增调用栈欺骗作为规避技术，隐藏API和系统调用的原始来源——这种技术近期也被另一款名为CoffeeLoader的恶意软件加载器采用。

Zscaler解释称："该技术通过EBP指针链遍历堆栈，用伪造的堆栈帧替换真实堆栈帧，从而隐藏恶意调用痕迹。"与前代版本相同，Hijack Loader仍采用Heavens Gate技术执行64位直接系统调用以实现进程注入。源码库其他改进包括更新进程黑名单，新增Avast杀毒软件组件"avastsvc.exe"，并将执行延迟设置为5秒。

该恶意软件还新增两个模块：用于检测虚拟机的ANTIVM模块，以及通过计划任务建立持久化的modTask模块。研究结果表明，Hijack Loader仍在被运营者积极维护，旨在增加分析与检测难度。

SHELBY恶意软件利用GitHub实施命令控制

与此同时，Elastic安全实验室披露了新型恶意软件家族SHELBY ，其利用GitHub进行命令控制(C2)、数据外泄和远程操控，该活动被追踪为REF8685 。攻击链始于钓鱼邮件，云计算通过分发包含.NET二进制文件的ZIP压缩包，利用DLL侧加载技术执行名为SHELBYLOADER的DLL加载器（"HTTPService.dll"）。攻击者向伊拉克某电信公司发送高度定向的钓鱼邮件，邮件实际源自目标组织内部。

加载器随后与GitHub建立C2通信，从攻击者控制的代码仓库中名为"License.txt"的文件提取特定48字节值。该值用于生成AES解密密钥，解密主后门有效载荷（"HTTPApi.dll"）并加载至内存，避免在磁盘留下可检测痕迹。Elastic指出："SHELBYLOADER采用沙箱检测技术识别虚拟化或受监控环境，执行后将检测结果以日志文件形式回传C2，亿华云详细记录各检测方法是否成功识别沙箱环境。"

SHELBYC2后门则解析名为"Command.txt"的文件中列出的指令，实现GitHub仓库文件上传/下载、反射加载.NET二进制文件以及执行PowerShell命令。值得注意的是，其C2通信通过个人访问令牌(PAT)向私有仓库提交commit实现。该公司强调："由于PAT令牌被硬编码在二进制文件中，任何获取该令牌的人理论上都能获取攻击者发送的指令，并访问任意受害机器的高防服务器命令输出。"

Emmenhtal通过7-Zip文件传播SmokeLoader

研究人员还发现以支付为主题的钓鱼邮件传播代号为Emmenhtal loader（又称PEAKLIGHT）的恶意软件加载器家族，该加载器作为传播SmokeLoader恶意软件的渠道。

GDATA表示："在此次发现的SmokeLoader样本中，攻击者使用商业级.NET保护工具.NET Reactor进行混淆和打包，这一技术值得关注。虽然SmokeLoader历来采用Themida、Enigma Protector等加壳工具及自定义加密器，但.NET Reactor因其强大的反分析机制，正被更多窃密软件和加载器类恶意软件采用。"