Nova versão do malware XLoader usa táticas mais complexas para se esconder
Por Dácio Castelo Branco | Editado por Claudio Yuge | 01 de Junho de 2022 às 21h20
Pesquisadores de cibersegurança identificaram uma nova versão da botnet XLoader, que está utilizando falsos endereços para esconder seus servidores de comando e controle (C2), dificultando assim que a ameaça seja freada — mas ainda com a mesma infraestrutura encontrada em outras detecções do malware.
O XLoader é um malware ladrão de informações baseado no Formbook, que tem como principais alvos os sistemas operacionais Windows e macOS. Ele foi espalhado em massa pela primeira vez em janeiro de 2021, e desde então sua evolução vem sendo acompanhada por pesquisadores da Check Point Software.
Foi nesse acompanhamento que a Check Point detectou nas versões 2.5 e 2.6 da ameaça, as mais recentes, um mecanismo que reescreve o nome dos domínios pela qual o vírus se conecta com seus controladores a cada tentativa de contato, para evitar detecções. No total, são 64 opções de endereços, e a cada tentativa de conexão oito delas são reescritas.
A dificuldade de detecção da nova versão do XLoader
O relatório da Check Point explica que, por conta das variadas possibilidades do endereço do domínio, o processo de detecção dos servidores C2 se torna complicado para analistas de segurança, já que a forma mais eficaz seria emular o processo e tentar cada um dos resultados - algo pouco eficiente.
Ao mesmo tempo, para os controladores, é possível que enquanto as tentativas ocorram, o vírus já tenha se conectado de forma bem sucedida com o servidor C2 e exfiltrado as informações, e logo depois já tenha voltado a embaralhar o endereço — não trazendo nenhum impacto negativo para sua operação.
A Check Point finaliza o relatório afirmando que a ameaça está principalmente presente nas versões do XLoader feitas para sistemas 32-bit, com a versão 64-bit da distribuição 2.6 se conectando toda vez com o endereço real. A firma de segurança afirma que isso pode ser parte de uma engenharia social para esconder os mecanismos do malware.
Fonte: Check Point Software