XLoaderマルウェアは、確率論を使用してC2サーバーを非表示にしています

The XLoader, フォームブックとも呼ばれます, マルウェアに新しい機能が搭載されました. Check Pointのセキュリティ研究者は、コマンドアンドコントロールサーバーを隠すために確率ベースの方法を採用した拡張バージョンを観察しました。. このアプローチを実装することによって, 今では「もみ殻から小麦を分離して本物のCを発見するのは非常に困難です。&何千もの正当なドメインの中のCサーバー,」研究者は言った.

確率論を使用してXLoaderがますますステルスになる

XLoaderとFormbookは同じ構造と構成を共有します. すべてのXLoaderサンプルには 64 ドメインと1つのURI, 個別に保存されたURIを使用する以前のバージョン. 「 64 マルウェア構成のドメインは実際にはおとりです, 研究者の注意をそらすことを目的とした,」レポートは言った.

コマンドアンドコントロールサーバーとの通信は、おとりドメインと実際のC2サーバーを介して行われます。, 被害者から盗まれたデータの送信を含む. このようにして、バックアップC2をおとりC2ドメインに隠すことができます。, フォールバック通信チャネルとして展開されます, プライマリC2ドメインがダウンした場合.

実際のC2サーバーのドメイン名は、以下を含む構成内に隠されていることに注意してください。 64 おとりドメイン, 16 そのうちランダムに選択されます, と 2 それらの 16 偽のC2アドレスと実際のアドレスに置き換えられます, それぞれ. この確率論的アプローチは、XLoaderがステルス性を維持して検出されないようにするのに役立ちます.

"平 9 エミュレーターをだまし、実際のCの検出を防ぐには数分で十分です&Cサーバー, ドメインへのアクセス間の遅延に基づく. 同時に, 確率論の助けを借りてマルウェアによって維持される定期的なノックバック期間により、機能を犠牲にすることなく、被害者をボットネットの一部として維持することができます, チェックポイント 結論.

フォームブック / 最近のXLoader

Formbookの元々のアイデアは、単純なキーロガーになることでした。. でも, 顧客は、世界中の組織に対するスパムキャンペーンに展開できるユニバーサルツールとしての可能性に気づきました.

突然の失踪直後, マルウェアは新しい形で再浮上しました. XLoaderは、特定のアンダーグラウンドフォーラムで販売可能になりました. これは、マルウェアがターゲットシステムのリストにmacOSを追加したときです.

マルウェアへの関心は非常に驚くべきものです. 間に 6 12月から数か月 1, 2020 と6月 1, 2021, チェック・ポイントは、多くの人からのFormbook/XLoaderリクエストを見ました 69 国, または全体の3分の1以上 195 今日世界で認められている国.

7月に 2021, XLoaderはわずかで販売されました $49 ダークウェブ上.