Die XLoader, auch bekannt als Formbook, Malware wurde nun mit neuen Fähigkeiten ausgestattet. Sicherheitsforscher von Check Point haben eine verbesserte Version beobachtet, die eine wahrscheinlichkeitsbasierte Methode verwendet, um ihre Command-and-Control-Server zu verbergen. Durch die Umsetzung dieses Ansatzes, Es sei jetzt „deutlich schwieriger, die Spreu vom Weizen zu trennen und das wahre C&C-Server unter Tausenden von legitimen Domains,“Sagten die Forscher.
XLoader wird durch die Verwendung der Wahrscheinlichkeitstheorie immer unauffälliger
XLoader und Formbook haben dieselbe Struktur und Konfiguration. Alle XLoader-Beispiele haben 64 Domänen und eine URI, mit früheren Versionen unter Verwendung einer separat gespeicherten URI. "Das 64 Domänen aus der Malware-Konfiguration sind eigentlich Köder, soll die Aufmerksamkeit der Forscher ablenken,“So der Bericht.
Die Kommunikation mit den Command-and-Control-Servern erfolgt über die Decoy-Domains und den echten C2-Server, einschließlich des Versendens von Daten, die dem Opfer gestohlen wurden. Auf diese Weise ist es möglich, dass ein Backup-C2 in den Decoy-C2-Domains versteckt wird, und als Fallback-Kommunikationskanal bereitgestellt werden, falls die primäre C2-Domäne heruntergefahren wird.
Es ist zu beachten, dass der Domänenname des echten C2-Servers in einer Konfiguration versteckt ist, die enthält 64 Köder-Domains, 16 davon werden zufällig ausgewählt, und 2 von diesen 16 werden durch die gefälschte C2-Adresse und die echte Adresse ersetzt, beziehungsweise. Dieser wahrscheinlichkeitstheoretische Ansatz hilft XLoader dabei, unentdeckt zu bleiben.
"Eben 9 Minuten reichen aus, um die Emulatoren zu täuschen und die Erkennung des echten C&C-Server, basierend auf den Verzögerungen zwischen den Zugriffen auf die Domänen. Gleichzeitig, Die regelmäßige Knockback-Periode, die von der Malware mit Hilfe der Wahrscheinlichkeitstheorie aufrechterhalten wird, ermöglicht es ihr, Opfer als Botnet-Teile zu behalten, ohne die Funktionalität zu beeinträchtigen, Check Point abgeschlossen.
formbook / XLoader in der jüngeren Vergangenheit
Die ursprüngliche Idee von Formbook war ein einfacher Keylogger. Jedoch, Kunden erkannten sein Potenzial als universelles Werkzeug, das in Spam-Kampagnen gegen Organisationen weltweit eingesetzt werden kann.
Kurz nach seinem plötzlichen Verschwinden, die Malware tauchte in einer neuen Form wieder auf. XLoader wurde in einem bestimmten Underground-Forum zum Verkauf angeboten. Zu diesem Zeitpunkt fügte die Malware macOS zu ihrer Liste der Zielsysteme hinzu.
Das Interesse an der Malware ist erstaunlich. Während der 6 Monate zwischen Dezember 1, 2020 und Juni 1, 2021, Check Point sah Formbook/XLoader-Anfragen von so vielen 69 Ländern, oder mehr als ein Drittel der Gesamtmenge 195 Länder, die heute in der Welt anerkannt sind.
Im Juli 2021, XLoader wurde für so wenig wie verkauft $49 auf der dunklen Bahn.