Il XLoader, noto anche come Formbook, il malware è stato ora dotato di nuove funzionalità. I ricercatori della sicurezza di Check Point hanno osservato una versione migliorata che ha adottato un metodo basato sulla probabilità per nascondere i suoi server di comando e controllo. Implementando questo approccio, ora è “significativamente più difficile separare il grano dalla pula e scoprire il vero C&Server C tra migliaia di domini legittimi,”I ricercatori hanno detto.
XLoader diventa sempre più furtivo usando la teoria della probabilità
XLoader e Formbook condividono la stessa struttura e configurazione. Tutti i campioni di XLoader hanno 64 domini e un URI, con le versioni precedenti utilizzando un URI archiviato separatamente. "Il 64 i domini della configurazione del malware sono in realtà esche, destinato a distrarre l'attenzione dei ricercatori,”Dice il rapporto.
Le comunicazioni con i server di comando e controllo avvengono attraverso i domini esca e il vero server C2, compreso l'invio di dati rubati alla vittima. In questo modo è possibile che un backup C2 possa essere nascosto nei domini C2 esca, ed essere implementato come canale di comunicazione di riserva, nel caso in cui il dominio C2 primario venga rimosso.
Da notare che il nome a dominio del vero server C2 è nascosto all'interno di una configurazione che lo contiene 64 domini esca, 16 di cui sono scelti a caso, e 2 di quelli 16 vengono sostituiti con l'indirizzo C2 falso e l'indirizzo reale, rispettivamente. Questo approccio alla teoria della probabilità aiuta XLoader a mantenere la furtività per non essere rilevato.
"Persino 9 i minuti sono sufficienti per ingannare gli emulatori e impedire il rilevamento del vero C&Server di C, in base ai ritardi tra gli accessi ai domini. Contemporaneamente, il regolare periodo di knockback mantenuto dal malware con l'aiuto della teoria della probabilità gli consente di mantenere le vittime come parti della botnet senza sacrificare la funzionalità, check Point concluso.
formbook / XLader nel recente passato
L'idea originale di Formbook era che fosse un semplice keylogger. Tuttavia, i clienti hanno notato il suo potenziale come strumento universale che può essere utilizzato nelle campagne di spam contro le organizzazioni di tutto il mondo.
Poco dopo la sua improvvisa scomparsa, il malware è riemerso in una nuova forma. XLoader è diventato disponibile per la vendita in uno specifico forum sotterraneo. Questo è quando il malware ha aggiunto macOS al suo elenco di sistemi presi di mira.
L'interesse per il malware è abbastanza sorprendente. Durante 6 mesi tra dicembre 1, 2020 e giugno 1, 2021, Check Point ha visto le richieste di Formbook/XLoader da ben 69 paesi, o più di un terzo del totale 195 paesi riconosciuti oggi nel mondo.
Nel mese di luglio 2021, XLoader è stato venduto per un minimo di $49 sul web scuro.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: