Пиратские репаки разносят HijackLoader, обходя uBlock и защиту Windows

Екатерина Быстрова 19 Августа 2025 - 09:25

...

Пиратские репаки разносят HijackLoader, обходя uBlock и защиту Windows

Киберисследователи зафиксировали новую кампанию с использованием HijackLoader — модульного загрузчика, который распространяется через сайты с пиратскими играми. На форумах такие ресурсы вроде Dodi Repacks часто называют «безопасными», особенно если использовать uBlock Origin, но на деле они становятся источником заражений, а блокировщики рекламы и SmartScreen от Microsoft тут не спасают.

Схема, по данным Trellix, выглядит так: пользователь кликает по ссылке на пиратскую игру, попадает на промежуточные домены вроде zovo[.]ink или downf[.]lol и скачивает архив с MEGA.

Внутри — цепочка из ZIP и 7z, где в итоге прячется вредоносный DLL, маскирующийся под легитимный компонент. Размер таких файлов специально делают большим, чтобы песочницы не могли загрузить их на проверку.

Дальше идёт многоуровневая техника обхода защиты: HijackLoader подменяет системные DLL, шифрует конфиги, проверяет, не запущен ли код в виртуалке или отладчике, и запускается только на «живых» машинах. Архитектура у него модульная — до 40 компонентов. Среди них, например, модуль для скрытой работы с API, обхода EDR и подмены системных вызовов.

Для закрепления на системе зловред создаёт ярлыки в автозагрузке, планировщики задач или BITS-трансферы, а иногда поднимает права через известные трюки с UAC. Дальше — внедрение в легитимные процессы вроде choice.exe или даже подписанные бинарники от Qihoo 360. При этом активно используются техники hollowing, отключение WOW64-редиректа, антиотладочные проверки по таймерам и «чистка» системных библиотек от хуков.

Цель у всего этого — развернуть полезную нагрузку, чаще всего воришки вроде LummaC2. В финале зловред расшифровывает полезный код и запускает его в процессе жертвы.

Важно, что кампания не ограничивается только игровыми торрентами. Исследователи нашли такие же вредоносные архивы даже по ссылкам из TIDAL-плейлистов и сторонних файловых хостингов. Это говорит о том, что злоумышленники активно эксплуатируют поисковые запросы вроде «crack» и «free download», заманивая пользователей на подменённые ресурсы.

HijackLoader продолжает развиваться: новые версии модулей усложняют анализ и улучшают обход защит. Ранее его уже связывали с семействами Remcos, Vidar и Redline Stealer.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 10 Ноября 2025 - 15:26

Уязвимости программ Общее

Whisper Leak: новая атака раскрывает темы диалогов с ИИ даже при шифровании

Исследователи Microsoft рассказали о новом векторе кибератаки под кодовым названием Whisper Leak. Он позволяет злоумышленникам вычислять, о чём человек разговаривает с искусственным интеллектом, даже если весь трафик зашифрован.

Наблюдая за сетевым трафиком между пользователем и языковой моделью, атакующий может анализировать размеры и интервалы передачи пакетов, чтобы определить тему диалога.

При этом содержимое сообщений остаётся зашифрованным, но характер обмена данными оказывается достаточно информативным, чтобы классифицировать разговор.

Как предупредила Microsoft, в зоне риска находятся пользователи, чей трафик может быть перехвачен — например, на уровне интернет-провайдера, в локальной сети или при подключении к общему Wi-Fi.

Исследователи отмечают, что атака может применяться для слежки за темами вроде финансовых операций, политических обсуждений или других конфиденциальных запросов.

Whisper Leak использует особенности потоковой генерации ответов (streaming mode), когда языковая модель отправляет текст постепенно, а не целиком после завершения обработки. Это даёт злоумышленнику возможность фиксировать различия в размерах и частоте пакетов данных, а затем с помощью алгоритмов машинного обучения — таких как LightGBM, Bi-LSTM и BERT — определять, к какой теме относится запрос.

По данным Microsoft, при тестировании многие модели — включая решения от Alibaba, DeepSeek, Mistral, Microsoft, OpenAI и xAI — показали точность классификации выше 98%. У моделей Google и Amazon результаты были лучше за счёт иной архитектуры, но и они оказались не полностью защищены.

После уведомления об уязвимости компании OpenAI, Microsoft, Mistral и xAI внедрили меры защиты. Одним из эффективных методов стало добавление случайных текстовых вставок переменной длины в ответы модели. Это делает размеры пакетов менее предсказуемыми и мешает анализировать поток данных.

Microsoft также рекомендует пользователям избегать обсуждения конфиденциальных тем при работе с чат-ботами через общественные сети, использовать VPN, по возможности выбирать непотоковые версии моделей и отдавать предпочтение сервисам, уже внедрившим защиту от подобных атак.

По сути, Whisper Leak показывает, что даже шифрование не всегда гарантирует приватность, если злоумышленник умеет «слушать» не слова, а ритм и объём разговора с искусственным интеллектом.

Подробнее о тёмной стороне искусственного интеллекта, а также угрозах, которые он несёт, можно почитать в нашей статье.