El XLoader, también conocido como Formbook, el malware ahora ha sido equipado con nuevas capacidades. Los investigadores de seguridad de Check Point han observado una versión mejorada que ha adoptado un método basado en la probabilidad para ocultar sus servidores de mando y control.. Al implementar este enfoque, ahora es “significativamente más difícil separar el trigo de la paja y descubrir el verdadero C&Servidores C entre miles de dominios legítimos,”Dijeron los investigadores.
XLoader se vuelve cada vez más sigiloso mediante el uso de la teoría de la probabilidad
XLoader y Formbook comparten la misma estructura y configuración. Todas las muestras de XLoader tienen 64 dominios y una URI, con versiones anteriores utilizando un URI almacenado por separado. "Los 64 los dominios de la configuración del malware son en realidad señuelos, destinado a distraer la atención de los investigadores,”Según el informe.
Las comunicaciones con los servidores de comando y control ocurren a través de los dominios señuelo y el servidor C2 real, incluido el envío de datos robados a la víctima. De esta forma es posible que se pueda ocultar un C2 de respaldo en los dominios señuelo C2, y ser desplegado como un canal de comunicación alternativo, en caso de que se elimine el dominio C2 principal.
Cabe señalar que el nombre de dominio del servidor C2 real está oculto dentro de una configuración que contiene 64 dominios señuelo, 16 de los cuales se eligen al azar, y 2 de aquellos 16 se reemplazan con la dirección C2 falsa y la dirección real, respectivamente. Este enfoque de la teoría de la probabilidad ayuda a XLoader a mantener el sigilo para pasar desapercibido..
"Incluso 9 minutos son suficientes para engañar a los emuladores y evitar la detección de la C real&Servidor C, en base a los retrasos entre los accesos a los dominios. Al mismo tiempo, el período de retroceso regular mantenido por el malware con la ayuda de la teoría de la probabilidad le permite mantener a las víctimas como partes de botnet sin sacrificar la funcionalidad, Check Point concluido.
formbook / XLoader en el pasado reciente
La idea original de Formbook era que fuera un simple keylogger. Sin embargo, los clientes notaron su potencial como una herramienta universal que se puede implementar en campañas de spam contra organizaciones en todo el mundo.
Poco después de su repentina desaparición, el malware resurgió con una nueva forma. XLoader estuvo disponible para la venta en un foro clandestino específico. Aquí es cuando el malware agregó macOS a su lista de sistemas objetivo.
El interés por el malware es asombroso. Durante el 6 meses entre diciembre 1, 2020 y junio 1, 2021, Check Point vio solicitudes de Formbook / XLoader de tantos como 69 países, o más de un tercio del total 195 países reconocidos en el mundo de hoy.
En julio 2021, XLoader se vendió por tan solo $49 en la web oscura.