Den XLoader, også kendt som Formbook, malware er nu blevet udstyret med nye muligheder. Check Points sikkerhedsforskere har observeret en forbedret version, der har vedtaget en sandsynlighedsbaseret metode til at skjule sine kommando-og-kontrolservere. Ved at implementere denne tilgang, det er nu "betydeligt sværere at adskille hveden fra avnerne og opdage det rigtige C&C-servere blandt tusindvis af legitime domæner,”Siger forskerne.
XLoader bliver mere og mere snigende ved at bruge sandsynlighedsteori
XLoader og Formbook deler den samme struktur og konfiguration. Alle XLoader prøver har 64 domæner og én URI, med tidligere versioner ved hjælp af en separat gemt URI. "Det 64 domæner fra malware-konfigurationen er faktisk lokkefugle, til formål at aflede forskernes opmærksomhed,”Hedder det i rapporten.
Kommunikationen med kommando-og-kontrol-serverne sker gennem lokkedomænerne og den rigtige C2-server, herunder at sende data stjålet fra offeret. På denne måde er det muligt, at en backup C2 kan skjules i lokke C2 domænerne, og blive implementeret som en reservekommunikationskanal, i tilfælde af at det primære C2-domæne bliver taget ned.
Det skal bemærkes, at domænenavnet på den rigtige C2-server er skjult i en konfiguration, der indeholder 64 lokkedomæner, 16 hvoraf er valgt tilfældigt, og 2 af disse 16 erstattes med den falske C2-adresse og den rigtige adresse, henholdsvis. Denne sandsynlighedsteoretiske tilgang hjælper XLoader med at bevare stealthiness for at forblive uopdaget.
"Også selvom 9 minutter er nok til at narre emulatorerne og forhindre opdagelsen af den rigtige C&C server, baseret på forsinkelserne mellem adgange til domænerne. Samtidig, den regelmæssige knockback-periode, der opretholdes af malwaren ved hjælp af sandsynlighedsteori, gør det muligt at beholde ofrene som botnet-dele uden at ofre funktionaliteten, Check Point indgået.
formbook / XLoader i den seneste fortid
Den oprindelige idé med Formbook var, at den skulle være en simpel keylogger. Men, kunder bemærkede dets potentiale som et universelt værktøj, der kan implementeres i spam-kampagner mod organisationer over hele verden.
Kort efter dets pludselige forsvinden, malware dukkede op igen i en ny form. XLoader blev tilgængelig til salg i et specifikt undergrundsforum. Dette er, når malware tilføjede macOS til sin liste over målrettede systemer.
Interessen for malware er ganske forbløffende. Under 6 måneder mellem december 1, 2020 og juni 1, 2021, Check Point så Formbook / XLoader anmodninger fra så mange som 69 lande, eller mere end en tredjedel af det samlede beløb 195 lande, der er anerkendt i verden i dag.
I juli 2021, XLoader blev solgt for så lidt som $49 på den mørke nettet.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: