OTX Bot4d ago

Technical Analysis of SnappyClient

Zscaler ThreatLabz identified a new command-and-control framework implant called SnappyClient, delivered via HijackLoader. SnappyClient is a C++-based implant with data theft and remote access capabilities. It employs evasion techniques like AMSI bypass, Heaven's Gate, direct system calls, and transacted hollowing. The malware receives configuration files from its C2 server and uses a custom encrypted network protocol. SnappyClient's main functions include stealing browser data, taking screenshots, keylogging, and providing remote shell access. Analysis suggests potential ties to HijackLoader based on code similarities. The primary goal appears to be cryptocurrency theft, targeting wallet addresses and crypto-related applications.

Pulse ID: 69bac510532c2199bd470e30
Pulse Link: https://otx.alienvault.com/pulse/69bac510532c2199bd470e30
Pulse Author: AlienVault
Created: 2026-03-18 15:30:24

Be advised, this data is unverified and should be considered preliminary. Always do further verification.

#Browser #CyberSecurity #DataTheft #HijackLoader #InfoSec #Malware #OTX #OpenThreatExchange #RAT #ThreatLabz #Zscaler #bot #cryptocurrency #AlienVault

LevelBlue - Open Threat Exchange

Learn about the latest cyber threats. Research, collaborate, and share threat intelligence in real time. Protect yourself and the community against today's emerging threats.

LevelBlue Open Threat Exchange
CyberVeille.chMar 2
📢 PiviGames détourné en hub de malware: chaîne d’infection HijackLoader via malvertising et MediaFire
📝 Selon Security Blog (Karsten Hahn et John Dador), cette première partie d’une série en deux volets...
📖 cyberveille : https://cyberveille.ch/posts/2026-03-02-pivigames-detourne-en-hub-de-malware-chaine-dinfection-hijackloader-via-malvertising-et-mediafire/
🌐 source : https://blog.gdatasoftware.com/2026/02/38373-pivigames-spreads-hijackloader
#HijackLoader #IOC #Cyberveille
PiviGames détourné en hub de malware: chaîne d’infection HijackLoader via malvertising et MediaFire

Selon Security Blog (Karsten Hahn et John Dador), cette première partie d’une série en deux volets analyse l’infection initiale observée depuis novembre 2025 après un signalement Reddit, reliant des téléchargements sur le site pirate PiviGames à l’exécution du loader HijackLoader; la seconde partie couvrira le payload ACRStealer. 🎮 Contexte et vecteur: PiviGames, connu pour proposer des liens de jeux PC piratés, charge des scripts Cloudflare pour paraître légitime puis un JavaScript “pgedshop.js” qui orchestre des redirections conditionnées par cookies. La première visite envoie vers hxxps://adbuho[.]shop/HIx0J, puis vers un domaine aléatoire en .pro et enfin une URL MediaFire. L’utilisateur récupère “Full Version Setup 6419 Open.zip” (mot de passe “6419”), qui contient des ressources et un “Setup.exe”. Le lanceur est légitime mais déclenche une infection via DLL sideloading en chargeant Conduit.Broker.dll (HijackLoader).

CyberVeille
CyberVeille.chFeb 11
📢 Campagne RenEngine: jeux piratés et HijackLoader diffusent les voleurs Lumma/ACR
📝 Source: Kaspersky (par Denis Brylev).
📖 cyberveille : https://cyberveille.ch/posts/2026-02-11-campagne-renengine-jeux-pirates-et-hijackloader-diffusent-les-voleurs-lumma-acr/
🌐 source : https://securelist.com/renengine-campaign-with-hijackloader-lumma-and-acr-stealer/118891/
#HijackLoader #IOC #Cyberveille
Campagne RenEngine: jeux piratés et HijackLoader diffusent les voleurs Lumma/ACR

Source: Kaspersky (par Denis Brylev). Contexte: publication technique dévoilant de nouveaux détails sur des campagnes impliquant le loader RenEngine et le malware HijackLoader, observées depuis mars 2025 et mises en lumière après une annonce de Howler Cell en février 2026. • Déguisement et vecteur initial 🎮: RenEngine est diffusé sous forme de jeux piratés/visual novels via un lanceur modifié basé sur Ren’Py et des sites de téléchargement redirigeant vers MEGA. Lors de l’exécution, un écran de chargement bloqué à 100% masque le démarrage du code malveillant. Des scripts Python simulent le chargement infini, intègrent une fonction is_sandboxed (évasion sandbox) et utilisent xor_decrypt_file pour déchiffrer une archive ZIP, extraite dans .temp.

CyberVeille
ANY.RUNSep 29

Top 10 last week's threats by uploads 🌐
⬆️ #Agenttesla 686 (380)
⬆️ #Vidar 588 (389)
⬇️ #Lumma 566 (686)
⬆️ #Remcos 449 (331)
⬆️ #Stealc 426 (272)
⬇️ #Quasar 383 (402)
⬆️ #Rhadamanthys 296 (286)
⬆️ #Dcrat 293 (278)
⬇️ #Amadey 269 (294)
⬆️ #Hijackloader 269 (197)
Track them all: https://any.run/malware-trends/?utm_source=mastodon&utm_medium=post&utm_campaign=top_ten&utm_content=tracker&utm_term=290925

#malware #infosec

ANY.RUNSep 8, 2025

Top 10 last week's threats by uploads 🌐
⬇️ #Lumma 746 (796)
⬆️ #Xworm 521 (407)
⬇️ #Quasar 388 (470)
⬇️ #Agenttesla 342 (344)
⬆️ #Vidar 282 (260)
⬆️ #Remcos 272 (169)
⬆️ #Hijackloader 267 (90)
⬇️ #Stealc 228 (229)
⬇️ #Dcrat 219 (245)
⬇️ #Amadey 200 (227)

👉 Track them all: https://any.run/malware-trends/?utm_source=mastodon&utm_medium=post&utm_campaign=top_ten&utm_content=tracker&utm_term=080925

#cybersecurity #infosec

Paxion CybersecurityAug 19, 2025

Pirated games are a new cyber weapon.

Attackers spread HijackLoader malware via trusted piracy sites, bypassing SmartScreen + Adblockers.

Paxion offers proactive defense against evolving threats.

🔒 Stay protected. Don’t take risks.
#CyberSecurity #HijackLoader #PiratedGames

Karsten HahnAug 15, 2025

Comprehensive analysis of #HijackLoader
by Ryan Weil

https://www.trellix.com/blogs/research/analysis-of-hijackloader-and-its-infection-chain/

CyberVeille.chJul 25, 2025
📢 Campagne malveillante LARVA-208 cible le jeu Steam Chemia
📝 L'article publié par Prodaft dans son repository Github "malware-ioc" met en lumière une **campagne malveillante** orchestrée par le groupe LARVA-208...
📖 cyberveille : https://cyberveille.ch/posts/2025-07-24-campagne-malveillante-larva-208-cible-le-jeu-steam-chemia/
🌐 source : https://github.com/prodaft/malware-ioc/blob/master/LARVA-208/SteamCampaign.md
#Fickle_Stealer #HijackLoader #Cyberveille
Campagne malveillante LARVA-208 cible le jeu Steam Chemia

L’article publié par Prodaft dans son repository Github “malware-ioc” met en lumière une campagne malveillante orchestrée par le groupe LARVA-208. LARVA-208 a compromis le jeu Steam Chemia pour distribuer plusieurs familles de malwares. Les binaries malveillants ont été intégrés directement dans l’exécutable du jeu disponible sur la plateforme Steam. Lors du téléchargement et du lancement du jeu par les utilisateurs, le malware s’exécute en parallèle de l’application légitime. Cette méthode est utilisée par LARVA-208 pour livrer deux charges principales : Fickle Stealer et HijackLoader. Ces malwares permettent de voler des informations sensibles et d’infecter davantage les systèmes des victimes.

CyberVeille
Show threadMarcel SIneM(S)USMay 27, 2025
Operation Endgame 2: 15 Millionen E-Mail-Adressen und 43 Millionen Passwörter | Security https://www.heise.de/news/Operation-Endgame-2-15-Millionen-E-Mail-Adressen-und-43-Millionen-Passwoerter-10396199.html #HaveIBeenPwned #Malware #Ransomware #Hacking #CyberCrime #Bumblebee #Latrodectus #Qakbot #DanaBot #HijackLoader #Warmcookie #Trickbot #Prolock #Doppelpaymer #REvil #Conti #BlackBasta #Cactus #OperationEndgame2
Operation Endgame 2: 15 Millionen E-Mail-Adressen und 43 Millionen Passwörter

Bei "Operation Endgame 2.0" kamen viele Millionen Adressen und Passwörter von Opfern ans Licht. Have I Been Pwned hat sie aufgenommen.

heise online
Marcel SIneM(S)USMay 24, 2025
Operation Endgame 2.0: 20 Haftbefehle, Hunderte Server außer Gefecht gesetzt | Security https://www.heise.de/news/Operation-Endgame-2-0-20-Haftbefehle-Hunderte-Server-ausser-Gefecht-gesetzt-10394215.html #OperationEndgame #OperationEndgame2 #Malware #Ranswomware #Hacking #CyberCrime #Bumblebee #Latrodectus #Qakbot #DanaBot #HijackLoader #Warmcookie #Trickbot #Prolock #Doppelpaymer #REvil #Conti #BlackBasta #Cactus
Operation Endgame 2.0: 20 Haftbefehle, Hunderte Server außer Gefecht gesetzt

Das BKA, Europol und weitere internationale Ermittlungsbehörden gehen weiter gegen Malware vor. Gegen mehr als 20 Akteure ergingen Haftbefehle und Anklagen.

heise online