Den Forschern zufolge dient HijackLoader als Auslieferungsmechanismus für SnappyClient. Frühere Untersuchungen von Zscaler hatten gezeigt, dass dieser Loader mehrere Module nutzt, um Code auf kompromittierten Systemen einzuschleusen und auszuführen — eine Eigenschaft, die den meisten Loadern fehlt. Laut dem Anbieter wurde HijackLoader zuvor bereits zur Verbreitung von Schadprogrammen wie RedLine Stealer, Danabot und SystemBC eingesetzt.
In einer von Zscaler beobachteten Kampagne begann der Angriff mit einer täuschend echt wirkenden Website, die das spanische Telekommunikationsunternehmen Telefonica imitierte. Beim Aufruf der Seite wurde automatisch eine HijackLoader-Datei heruntergeladen, die nach der Ausführung SnappyClient entschlüsselte und auf dem Rechner des Opfers ausrollte. In einer separaten Auslieferungskette, die Zscaler in diesem Jahr entdeckte, setzten die Akteure die Social-Engineering-Methode ClickFix ein — ein Hinweis darauf, dass sie ihre Verbreitungswege diversifizieren.
Nach der Installation richtet SnappyClient seine Persistenz über geplante Aufgaben oder über die Autostart-Schlüssel der Windows-Registry ein. Anschließend verbindet sich das Implantat mit seiner C2-Infrastruktur und verschlüsselt den gesamten Datenverkehr mit dem modernen Verfahren ChaCha20-Poly1305, was die Erkennung erschwert.
Funktional kann die Malware Zugangsdaten und Cookie-Daten aus mehreren Browsern stehlen, darunter Chrome, Firefox, Edge, Brave und Opera. Angreifer können über das Implantat eine Remote-Shell für direkten Kommandozeilenzugriff aufbauen, Konfigurationsupdates nachladen und dynamisch festlegen, welche Anwendungen für den Datendiebstahl ins Visier genommen werden. Das deutet laut Zscaler darauf hin, dass SnappyClient eher für langfristige Operationen als für kurzfristige Angriffe gedacht ist.
C2-Implantate wie SnappyClient sind für Organisationen schwer abzuwehren, da sie gezielt auf Tarnung ausgelegt sind. Anders als Ransomware oder andere Malware, die meist störend wirkt und daher leicht auffällt, bleiben C2-Implantate durch Anti-Analyse-Funktionen über längere Zeiträume verborgen. Als Beispiele nennt Zscaler das Open-Source-Framework Havoc, das der Anbieter 2023 entdeckte und das damals selbst aktuelle Windows-11-Versionen durch fortgeschrittene Umgehungstechniken austricksen konnte, sowie das Framework Sliver, dessen Einsatz Cybereason und andere Anbieter bei mehreren Bedrohungsakteuren zur Steuerung kompromittierter Systeme beobachtet haben.
