پژوهشگران امنیت سایبری نسخه به روز شده از لودر بدافزار موسوم به Hijack Loader را کشف کردند که ویژگیهای جدیدی را برای فرار از شناسایی و ایجاد پایداری در سیستمهای آلوده معرفی میکند.
محقق Zscaler ThreatLabz گفت: Hijack Loader ماژول جدیدی را معرفی کرد که با استفاده از تکنیک Call Stack Spoofing، تلاش میکند منشا فراخوانیهای تابع (مانند فراخوانیهای API و سیستم) را پنهان کند. Hijack Loader دارای دو ماژول جدید است: ماژول ANTIVM جهت شناسایی ماشینهای مجازی، محیطهای تحلیل بدافزار و سندباکسها. و ماژول modTask برای تنظیم پایداری از طریق وظایف برنامهریزیشده. Hijack Loader (با نامهای DOILoader، GHOSTPULSE، IDAT Loader و SHADOWLADDER نیز شناخته میشود) قادر به تحویل پیلودهای مرحله دوم مانند بدافزارهای سرقت اطلاعات است. همچنین ماژولهای مختلفی برای عبور از نرمافزارهای امنیتی و تزریق کد مخرب دارد.
اخیرا ایمیلهای فیشینگ حاوی فریبهایی با موضوع پرداخت نیز مشاهده شدهاند که خانواده بارگذار بدافزار با نام Emmenhtal Loader (معروف به PEAKLIGHT) را توزیع میکند که به عنوان مجرای استقرار بدافزار دیگری به نام SmokeLoader عمل میکند. GDATA گفت: یک تکنیک قابل توجه مشاهده شده در این نسخه از SmokeLoader، استفاده از ابزار حفاظتی داتنت NET Reactor. با مکانیزمهای ضد تحلیل قوی است که برای مبهمسازی و پک کردن استفاده میشود.
https://thehackernews.com/2025/04/new-malware-loaders-use-call-stack.html
