Hancitor se creó en 2014 para lanzar otro malware en las máquinas infectadas. También se conoce como Tordal y Chanitor. Este malware está disponible como un servicio que lo convierte en herramientas accesibles para los delincuentes y contribuye a la popularidad de este virus.
A pesar de eso, Hancitor Loader no ha cambiado mucho desde 2016 y hasta el día de hoy se basa en técnicas de ejecución y evasión muy simples que hacen que su detección y prevención sea relativamente fácil, especialmente para objetivos corporativos con niveles adecuados de ciberseguridad.
La versión 2016 del malware tenía 66 funciones y tenía el tamaño de 20 480 bytes, mientras que la versión 2018 se compone de 51 funciones que suman 20 992 bytes. Una de las principales diferencias entre las versiones es la falta de funcionalidad de verificación de conectividad en la iteración de 2018. Como tal, la iteración anterior de Hancitor intentaría conectarse a Google.com durante la ejecución para verificar las conexiones, mientras que la iteración nunca omite completamente este paso. La versión más reciente también utiliza el cifrado RC4 y contiene algunos comandos actualizados.
El troyano Hancitor generalmente se distribuye en campañas de malspam como un archivo adjunto malicioso de Microsoft Office. Sin embargo, dado que la mayoría de las organizaciones comenzaron a mejorar sus medidas de ciberseguridad, algunas campañas que distribuyen Hancitor contienen un enlace que apunta al sitio web desde donde se descarga este cargador.
En el caso de la distribución mediante archivos adjuntos .DOC, el usuario primero debe descargar el archivo y luego activar las macros, ignorando múltiples advertencias de seguridad. Los autores de malware utilizan señuelos para engañar a los usuarios para que lo hagan. Algunos correos electrónicos de phishing contienen una factura o un documento relacionado con un pago falso, que intenta que el usuario lo descargue. Además, los atacantes proporcionan instrucciones para habilitar macros. Si el usuario cumple, las macros maliciosas descargarán Hancitor o se eliminarán del documento.
En algunas campañas de malspam, Hancitor se entregó a las víctimas con documentos .RTF que usaban un exploit para ejecutar el comando de PowerShell que descargaba el cargador en la computadora.
