o Xloader, também conhecido como formulário, malware agora foi equipado com novos recursos. Os pesquisadores de segurança da Check Point observaram uma versão aprimorada que adotou um método baseado em probabilidade para ocultar seus servidores de comando e controle. Ao implementar esta abordagem, agora é “significativamente mais difícil separar o joio do trigo e descobrir o verdadeiro C&Servidores C entre milhares de domínios legítimos,”Disseram os pesquisadores.
XLoader se tornando cada vez mais furtivo usando a teoria da probabilidade
XLoader e Formbook compartilham a mesma estrutura e configuração. Todas as amostras do XLoader têm 64 domínios e um URI, com versões anteriores usando um URI armazenado separadamente. "O 64 domínios da configuração do malware são na verdade iscas, destinado a distrair a atenção dos pesquisadores,”Disse o relatório.
As comunicações com os servidores de comando e controle acontecem através dos domínios chamariz e do servidor C2 real, incluindo o envio de dados roubados da vítima. Desta forma, é possível que um backup C2 possa estar oculto nos domínios C2 chamariz, e ser implantado como um canal de comunicação de fallback, caso o domínio C2 primário seja removido.
Deve-se notar que o nome de domínio do servidor C2 real está oculto em uma configuração que contém 64 domínios chamariz, 16 dos quais são escolhidos aleatoriamente, e 2 daqueles 16 são substituídos pelo endereço C2 falso e o endereço real, respectivamente. Essa abordagem da teoria da probabilidade ajuda o XLoader a manter a furtividade para permanecer indetectável.
"Até 9 minutos são suficientes para enganar os emuladores e impedir a detecção do real C&servidor C, com base nos atrasos entre os acessos aos domínios. Ao mesmo tempo, o período de knockback regular mantido pelo malware com a ajuda da teoria da probabilidade permite que ele mantenha as vítimas como partes do botnet sem sacrificar a funcionalidade, Check Point concluiu.
Formbook / XLoader no passado recente
A ideia original do Formbook era ser um keylogger simples. Contudo, os clientes perceberam seu potencial como uma ferramenta universal que pode ser implantada em campanhas de spam contra organizações em todo o mundo.
Pouco depois de seu súbito desaparecimento, o malware reapareceu em uma nova forma. XLoader tornou-se disponível para venda em um fórum subterrâneo específico. Foi quando o malware adicionou o macOS à sua lista de sistemas direcionados.
O interesse no malware é bastante surpreendente. Durante o 6 meses entre dezembro 1, 2020 e junho 1, 2021, A Check Point viu solicitações Formbook / XLoader de tantos quanto 69 países, ou mais de um terço do total 195 países reconhecidos no mundo hoje.
Em julho 2021, O XLoader foi vendido por apenas $49 na web escuro.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: