Het XLoader, ook bekend als Formbook, malware is nu uitgerust met nieuwe mogelijkheden. Beveiligingsonderzoekers van Check Point hebben een verbeterde versie waargenomen die een op waarschijnlijkheid gebaseerde methode heeft aangenomen om de command-and-control-servers te verbergen. Door deze aanpak te implementeren, het is nu "aanzienlijk moeilijker om het kaf van het koren te scheiden en de echte C" te ontdekken&C-servers tussen duizenden legitieme domeinen,”Aldus de onderzoekers.
XLoader wordt steeds stiekemer door kansrekening te gebruiken
XLoader en Formbook delen dezelfde structuur en configuratie. Alle XLoader-samples hebben: 64 domeinen en één URI, met eerdere versies met een afzonderlijk opgeslagen URI. "De 64 domeinen uit de malwareconfiguratie zijn eigenlijk lokvogels, bedoeld om de aandacht van de onderzoekers af te leiden,”Aldus het rapport.
De communicatie met de command-and-control-servers vindt plaats via de lokvogeldomeinen en de echte C2-server, inclusief het verzenden van gegevens die zijn gestolen van het slachtoffer. Op deze manier is het mogelijk dat een back-up C2 verborgen kan worden in de lokmiddel C2 domeinen, en worden ingezet als een terugvalcommunicatiekanaal, in het geval dat het primaire C2-domein wordt verwijderd.
Opgemerkt moet worden dat de domeinnaam van de echte C2-server verborgen is in een configuratie die: 64 lok domeinen, 16 waarvan willekeurig gekozen, en 2 van deze 16 worden vervangen door het nep-C2-adres en het echte adres, respectievelijk. Deze benadering van waarschijnlijkheidstheorie helpt XLoader om stealthiness te behouden om onopgemerkt te blijven.
"Ook al 9 minuten zijn genoeg om de emulators voor de gek te houden en de detectie van de echte C . te voorkomen&C server, gebaseerd op de vertragingen tussen toegangen tot de domeinen. Tegelijkertijd, de reguliere terugslagperiode die door de malware wordt onderhouden met behulp van kanstheorie stelt het in staat om slachtoffers als botnet-onderdelen te houden zonder de functionaliteit op te offeren, check Point gesloten.
Formbook / XLoader in het recente verleden
Het oorspronkelijke idee van Formbook was dat het een eenvoudige keylogger zou zijn. Echter, klanten merkten het potentieel op als een universele tool die kan worden ingezet in spamcampagnes tegen organisaties over de hele wereld.
Kort na zijn plotselinge verdwijning, de malware dook weer op in een nieuwe vorm. XLoader kwam beschikbaar voor verkoop in een specifiek ondergronds forum. Dit is het moment waarop de malware macOS heeft toegevoegd aan de lijst met gerichte systemen.
De interesse in de malware is behoorlijk verbazingwekkend. Tijdens de 6 maanden tussen december 1, 2020 en juni 1, 2021, Check Point zag Formbook/XLoader-verzoeken van zoveel als 69 landen, of meer dan een derde van het totaal 195 landen erkend in de wereld van vandaag.
In juli 2021, XLoader werd verkocht voor zo weinig als $49 op de donkere web.