Ένα γνωστό κακόβουλο λογισμικό κλοπής πληροφοριών που ονομάζεται XLoader έχει λάβει σημαντικές αναβαθμίσεις στις τελευταίες του εκδόσεις, καθιστώντας τον εντοπισμό και την ανάλυση πολύ πιο δύσκολο από πριν.
Αρχικά προερχόμενο από μια οικογένεια κακόβουλου λογισμικού γνωστή ως FormBook, η οποία εμφανίστηκε για πρώτη φορά το 2016, το XLoader ανανεώθηκε και κυκλοφόρησε ξανά στις αρχές του 2020 και έκτοτε, οι προγραμματιστές του προωθούν συνεχώς νέες ενημερώσεις για να διατηρήσουν το κακόβουλο λογισμικό ενεργό και αποτελεσματικό έναντι των σύγχρονων άμυνων.
Το XLoader στοχεύει προγράμματα περιήγησης ιστού, προγράμματα-πελάτες email και εφαρμογές FTP για να κλέψει κωδικούς πρόσβασης, cookies και άλλα ευαίσθητα διαπιστευτήρια από μολυσμένα συστήματα.
Πέρα από την κλοπή δεδομένων, μπορεί επίσης να εκτελέσει αυθαίρετες εντολές και να αναπτύξει ωφέλιμα φορτία κακόβουλου λογισμικού δεύτερου σταδίου σε παραβιασμένα μηχανήματα, δίνοντας στους εισβολείς ένα ευρύ φάσμα ελέγχου σε οποιονδήποτε επηρεασμένο κεντρικό υπολογιστή.
Η πιο πρόσφατη έκδοση που παρατηρήθηκε είναι η 8.7, με την ενεργό ανάπτυξη να συνεχίζει να εισάγει νέες δυνατότητες και βελτιώσεις αποφυγής με κάθε κυκλοφορία.
Το κακόβουλο λογισμικό φθάνει κυρίως στα θύματα μέσω email ηλεκτρονικού ψαρέματος και κακόβουλων συνημμένων αρχείων — φορείς επιθέσεων που παραμένουν αποτελεσματικοί επειδή εκμεταλλεύονται την ανθρώπινη συμπεριφορά αντί να βασίζονται αποκλειστικά σε τεχνικές αδυναμίες.
Μόλις μολυνθεί ένα σύστημα, το XLoader εκτελείται αθόρυβα στο παρασκήνιο, συλλέγοντας διαπιστευτήρια από προγράμματα περιήγησης όπως το Google Chrome και προγράμματα-πελάτες email όπως το Microsoft Outlook και στη συνέχεια στέλνει αυτά τα κλεμμένα δεδομένα πίσω στους διακομιστές εντολών και ελέγχου (C2) σε κρυπτογραφημένη και προσεκτικά συγκαλυμμένη μορφή.
Οι ερευνητές στο Zscaler εντόπισαν τις πιο πρόσφατες επαναλήψεις του XLoaderσημειώνοντας ότι ξεκινώντας από την έκδοση 8.1, οι προγραμματιστές του κακόβουλου λογισμικού εισήγαγαν πολύ πιο προηγμένες τεχνικές συσκότισης κώδικα και κρυπτογράφησης δικτύου από ό,τι φάνηκε σε προηγούμενες εκδόσεις.
Η ανάλυσή τους αποκάλυψε ότι αυτές οι ενημερώσεις είναι σκόπιμες και συστηματικές, σχεδιασμένες να εμποδίζουν τόσο τα εργαλεία αυτόματης ανάλυσης όσο και τις προσπάθειες χειροκίνητης αντίστροφης μηχανικής από επαγγελματίες ασφαλείας.
Ο συνολικός αντίκτυπος αυτών των αναβαθμίσεων είναι εκτεταμένος. Ο συνδυασμός του XLoader της κλοπής δεδομένων, της ευέλικτης εκτέλεσης εντολών και της βαθιάς συσκότισης το καθιστά μια επίμονη απειλή για άτομα και οργανισμούς όλων των μεγεθών.
Το ThreatLabz κατέληξε στο συμπέρασμα ότι το XLoader αναμένεται να συνεχίσει να αποτελεί σημαντικό κίνδυνο στο μέλλον, ειδικά καθώς οι αυξανόμενες δυνατότητές του stealth του επιτρέπουν να παραμένει σε μεγάλο βαθμό απαρατήρητο από τα συμβατικά συστήματα ασφαλείας.
Πώς το XLoader κρύβει την επισκεψιμότητα C2 πίσω από τους διακομιστές Decoy
Μία από τις πιο σημαντικές πτυχές της ενημερωμένης συμπεριφοράς του XLoader είναι ο τρόπος με τον οποίο κρύβει τους πραγματικούς διακομιστές εντολών και ελέγχου (C2) μέσα σε μια μεγάλη δεξαμενή διευθύνσεων δόλωμα.
Το κακόβουλο λογισμικό ενσωματώνει συνολικά 65 C2 Διευθύνσεις IP στον κώδικά της, αλλά κάθε διεύθυνση κρυπτογραφείται ξεχωριστά και αποκρυπτογραφείται μόνο κατά το χρόνο εκτέλεσης όταν πρόκειται να χρησιμοποιηθεί, γεγονός που καθιστά τη στατική ανάλυση του δυαδικού αρχείου εξαιρετικά δύσκολη για τους ερευνητές.
Και οι δύο τύποι εσωτερικών αιτημάτων — τα αιτήματα POST που φέρουν κλεμμένα διαπιστευτήρια και τα αιτήματα GET για ανάκτηση εντολών — αποστέλλονται σε ολόκληρο αυτό το pool αδιακρίτως.
Αυτή η προσέγγιση καθιστά σχεδόν αδύνατο για τα sandboxes κακόβουλου λογισμικού και τα εργαλεία αυτοματοποιημένης ανίχνευσης να διακρίνουν τους πραγματικούς διακομιστές C2 από τα δόλωμα χωρίς ζωντανή επαλήθευση δικτύου για κάθε διεύθυνση.
Για την περαιτέρω προστασία της επισκεψιμότητάς του, το XLoader εφαρμόζει πολλαπλά επίπεδα κρυπτογράφησης χρησιμοποιώντας κρυπτογράφηση RC4 και κατακερματισμό SHA-1 της διεύθυνσης URL C2.
.webp.jpeg)
Τα κλειδιά κρυπτογράφησης προέρχονται δυναμικά από την αρχή C2 URL και αποκαλύπτονται μόνο σε συγκεκριμένα στάδια εκτέλεσης, καθιστώντας την υποκλοπή από μόνη της ανεπαρκή για την έκθεση των δραστηριοτήτων του κακόβουλου λογισμικού.
Παρόλο που η κίνηση ταξιδεύει μέσω HTTP απλού κειμένου, τα πραγματικά δεδομένα τοποθετούνται σε επίπεδα με αρκετή κρυπτογράφηση που η αποκωδικοποίησή τους χωρίς τα κατάλληλα κλειδιά είναι πρακτικά αδύνατη.
Οι ομάδες ασφαλείας θα πρέπει να παρακολουθούν για ασυνήθιστα μοτίβα επισκεψιμότητας HTTP που περιλαμβάνουν επαναλαμβανόμενα αιτήματα που αποστέλλονται σε πολλές διευθύνσεις IP μέσα σε σύντομο χρονικό διάστημα, ιδιαίτερα όταν αυτά τα αιτήματα περιλαμβάνουν παραμέτρους κωδικοποιημένες από το Base64 με ονόματα που δημιουργούνται τυχαία.
Η χρήση εργαλείων εξομοίωσης δικτύου που μπορούν να δημιουργήσουν πραγματικές συνδέσεις και να επαληθεύσουν τις αποκρίσεις διακομιστή παραμένει η πιο αξιόπιστη μέθοδος διαχωρισμού πραγματικών Διακομιστές C2 από decoys.
Οι οργανισμοί θα πρέπει επίσης να διατηρούν ενημερωμένα τα εργαλεία εντοπισμού τελικών σημείων για να εντοπίζουν τη δραστηριότητα του XLoader, η οποία επί του παρόντος παρακολουθείται κάτω από την ένδειξη Win32.PWS.XLoader.
