La XLoader, également connu sous le nom de Formbook, les logiciels malveillants sont désormais dotés de nouvelles fonctionnalités. Les chercheurs en sécurité de Check Point ont observé une version améliorée qui a adopté une méthode basée sur la probabilité pour dissimuler ses serveurs de commande et de contrôle. En mettant en œuvre cette approche, il est maintenant "beaucoup plus difficile de séparer le bon grain de l'ivraie et de découvrir le vrai C&Serveurs C parmi des milliers de domaines légitimes,» Les chercheurs.
XLoader devient de plus en plus furtif en utilisant la théorie des probabilités
XLoader et Formbook partagent la même structure et configuration. Tous les échantillons XLoader ont 64 domaines et un URI, avec les versions antérieures utilisant un URI stocké séparément. "Le 64 les domaines de la configuration du logiciel malveillant sont en fait des leurres, destiné à détourner l'attention des chercheurs,» Le rapport.
Les communications avec les serveurs de commande et de contrôle se font via les domaines leurres et le vrai serveur C2, y compris l'envoi de données volées à la victime. De cette façon, il est possible qu'un C2 de sauvegarde puisse être caché dans les domaines C2 leurres, et être déployé comme canal de communication de secours, en cas de suppression du domaine C2 principal.
Il convient de noter que le nom de domaine du vrai serveur C2 est caché dans une configuration qui contient 64 domaines leurres, 16 dont sont choisis au hasard, et 2 de celles 16 sont remplacées par la fausse adresse C2 et la vraie adresse, respectivement. Cette approche de la théorie des probabilités aide XLoader à rester furtif pour ne pas être détecté.
"Même 9 quelques minutes suffisent pour tromper les émulateurs et empêcher la détection du vrai C&Serveur C, en fonction des délais entre les accès aux domaines. À la fois, la période de recul régulière maintenue par le logiciel malveillant à l'aide de la théorie des probabilités lui permet de conserver les victimes en tant que parties du botnet sans sacrifier la fonctionnalité, Check point conclu.
Formbook / XLoader dans le passé récent
L'idée originale de Formbook était que ce soit un simple keylogger. Cependant, les clients ont remarqué son potentiel en tant qu'outil universel pouvant être déployé dans des campagnes de spam contre des organisations du monde entier.
Peu de temps après sa disparition soudaine, le malware a refait surface sous une nouvelle forme. XLoader est devenu disponible à la vente dans un forum souterrain spécifique. C'est alors que le malware a ajouté macOS à sa liste de systèmes ciblés.
L'intérêt pour le malware est assez étonnant. Pendant le 6 mois entre décembre 1, 2020 et Juin 1, 2021, Check Point a vu les demandes Formbook/XLoader de pas moins de 69 pays, ou plus d'un tiers du total 195 pays reconnus dans le monde aujourd'hui.
En juillet 2021, XLoader a été vendu pour aussi peu que $49 sur le web sombre.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: