Economize: canal oficial do CT Ofertas no WhatsApp Entrar
Home
Notícias
Segurança

Nova versão do malware XLoader usa táticas mais complexas para se esconder

Por| Editado por Claudio Yuge | 01 de Junho de 2022 às 21h20

Divulgação/ESET
Divulgação/ESET
Continua após a publicidade

Pesquisadores de cibersegurança identificaram uma nova versão da botnet XLoader, que está utilizando falsos endereços para esconder seus servidores de comando e controle (C2), dificultando assim que a ameaça seja freada — mas ainda com a mesma infraestrutura encontrada em outras detecções do malware.

O XLoader é um malware ladrão de informações baseado no Formbook, que tem como principais alvos os sistemas operacionais Windows e macOS. Ele foi espalhado em massa pela primeira vez em janeiro de 2021, e desde então sua evolução vem sendo acompanhada por pesquisadores da Check Point Software.

Nova versão do malware XLoader usa táticas mais complexas para se esconder
Esquema da Check Point ilustrando como a reescrita do nome dos domínios ocorre na ameaça. (Imagem: Reprodução/Check Point Software)

Foi nesse acompanhamento que a Check Point detectou nas versões 2.5 e 2.6 da ameaça, as mais recentes, um mecanismo que reescreve o nome dos domínios pela qual o vírus se conecta com seus controladores a cada tentativa de contato, para evitar detecções. No total, são 64 opções de endereços, e a cada tentativa de conexão oito delas são reescritas.

A dificuldade de detecção da nova versão do XLoader

O relatório da Check Point explica que, por conta das variadas possibilidades do endereço do domínio, o processo de detecção dos servidores C2 se torna complicado para analistas de segurança, já que a forma mais eficaz seria emular o processo e tentar cada um dos resultados - algo pouco eficiente.

Ao mesmo tempo, para os controladores, é possível que enquanto as tentativas ocorram, o vírus já tenha se conectado de forma bem sucedida com o servidor C2 e exfiltrado as informações, e logo depois já tenha voltado a embaralhar o endereço — não trazendo nenhum impacto negativo para sua operação.

Continua após a publicidade

A Check Point finaliza o relatório afirmando que a ameaça está principalmente presente nas versões do XLoader feitas para sistemas 32-bit, com a versão 64-bit da distribuição 2.6 se conectando toda vez com o endereço real. A firma de segurança afirma que isso pode ser parte de uma engenharia social para esconder os mecanismos do malware.

Fonte: Check Point Software