Uma versão mais recente de um carregador de malware chamado Hijack Loader foi observada incorporando um conjunto atualizado de técnicas anti-análise para passar despercebido. “Essas melhorias visam aumentar a furtividade do malware, permanecendo indetectável por períodos mais longos de tempo”, disse o pesquisador Muhammed Irfan, em um relatório técnico.

O Hijack Loader agora inclui módulos para adicionar uma exclusão para o Antivírus Windows Defender, ignorar o Controle de Conta de Usuário (UAC), evitar o hooking de API inline, que é frequentemente usado por software de segurança para detecção, e empregar o processo de esvaziamento. O Hijack Loader, também chamado de IDAT Loader, é um carregador de malware que foi documentado pela primeira vez pela empresa de cibersegurança em setembro de 2023. Nos meses seguintes, a ferramenta tem sido usada como um conduto para entregar várias famílias de malware.

Isso inclui Amadey, Lumma Stealer, Meta Stealer, Racoon Stealer V2, Remcos RAT e Rhadamanthys. O que torna a versão mais recente notável é o fato de que ela descriptografa e analisa uma imagem PNG para carregar a próxima carga útil em estágio avançado, uma técnica que foi detalhada pela primeira vez pela Morphisec em conexão com uma campanha direcionada a entidades ucranianas com base na Finlândia. O carregador, vem equipado com um primeiro estágio, que é responsável por extrair e lançar o segundo estágio a partir de uma imagem PNG que está incorporada nele ou baixada separadamente com base na configuração do malware.