Versi malware XLoader yang disempurnakan telah terlihat mengadopsi pendekatan berbasis probabilitas untuk menyamarkan infrastruktur command-and-control (C&C), menurut penelitian terbaru.
“Sekarang jauh lebih sulit untuk memisahkan gandum dari sekam dan menemukan server C&C yang sebenarnya di antara ribuan domain sah yang digunakan oleh Xloader sebagai tabir asap,” kata perusahaan keamanan siber Israel, Check Point.
Pertama kali terlihat di alam liar pada Oktober 2020, XLoader adalah penerus Formbook dan pencuri informasi lintas platform yang mampu menjarah kredensial dari browser web, menangkap penekanan tombol dan tangkapan layar, dan menjalankan perintah dan muatan sewenang-wenang.
Baru-baru ini, konflik geopolitik yang sedang berlangsung antara Rusia dan Ukraina telah terbukti menjadi umpan yang menguntungkan untuk mendistribusikan XLoader melalui email phishing yang ditujukan kepada pejabat tinggi pemerintah di Ukraina.
Temuan terbaru dari Check Point didasarkan pada laporan sebelumnya dari Zscaler pada Januari 2022, yang mengungkapkan cara kerja enkripsi jaringan dan protokol komunikasi C&C (atau C2) malware, mencatat penggunaan server umpan untuk menyembunyikan server yang sah dan menghindari malware. sistem analisis.
“Komunikasi C2 terjadi dengan domain umpan dan server C2 yang sebenarnya, termasuk mengirim data curian dari korban,” para peneliti menjelaskan. “Jadi, ada kemungkinan bahwa C2 cadangan dapat disembunyikan di domain C2 umpan dan digunakan sebagai saluran komunikasi cadangan jika domain C2 utama dihapus.”
Kerahasiaan ini berasal dari fakta bahwa nama domain untuk server C&C asli disembunyikan di samping konfigurasi yang berisi 64 domain umpan, dari mana 16 domain dipilih secara acak, diikuti dengan mengganti dua dari 16 domain tersebut dengan alamat C&C palsu dan alamat asli.
Apa yang berubah di versi XLoader yang lebih baru adalah bahwa setelah pemilihan 16 domain umpan dari konfigurasi, delapan domain pertama ditimpa dengan nilai acak baru sebelum setiap siklus komunikasi sambil mengambil langkah untuk melewati domain sebenarnya.
Selain itu, XLoader 2.5 menggantikan tiga domain dalam daftar yang dibuat dengan dua alamat server umpan dan domain server C&C yang sebenarnya. Tujuan utamanya adalah untuk mencegah deteksi server C&C yang sebenarnya, berdasarkan penundaan antara akses ke domain.
Fakta bahwa pembuat malware telah menggunakan prinsip teori probabilitas untuk mengakses server yang sah sekali lagi menunjukkan bagaimana pelaku ancaman terus-menerus menyempurnakan taktik mereka untuk mencapai tujuan jahat mereka.
“Modifikasi ini mencapai dua tujuan sekaligus: setiap node di botnet mempertahankan tingkat knockback yang stabil sambil membodohi skrip otomatis dan mencegah penemuan server C&C yang sebenarnya,” kata peneliti Check Point.