Eine verbesserte Version der XLoader-Malware wurde entdeckt, die einen wahrscheinlichkeitsbasierten Ansatz verfolgt, um ihre Command-and-Control (C&C)-Infrastruktur zu tarnen, so die neuesten Erkenntnisse.
„Jetzt ist es deutlich schwieriger, die Spreu vom Weizen zu trennen und die echten C&C-Server unter Tausenden von legitimen Domains zu entdecken, die Xloader als Deckmantel verwendet“, so das israelische Cybersicherheitsunternehmen Check Point.
XLoader wurde erstmals im Oktober 2020 in freier Wildbahn entdeckt und ist der Nachfolger von Formbook. Er ist ein plattformübergreifender Datendieb, der in der Lage ist, Anmeldeinformationen von Webbrowsern zu erbeuten, Tastatureingaben und Screenshots zu erfassen und beliebige Befehle und Nutzdaten auszuführen.
In jüngster Zeit hat sich der anhaltende geopolitische Konflikt zwischen Russland und der Ukraine als lukratives Futter für die Verbreitung von XLoader durch Phishing-E-Mails erwiesen, die an hochrangige Regierungsvertreter in der Ukraine gerichtet sind.
Die neuesten Erkenntnisse von Check Point bauen auf einem früheren Bericht von Zscaler aus dem Januar 2022 auf, in dem das Innenleben des C&C (oder C2) Netzwerkverschlüsselungs- und Kommunikationsprotokolls der Malware enthüllt wurde und auf die Verwendung von Täuschungsservern hingewiesen wurde, um den legitimen Server zu verbergen und Malware-Analysesysteme zu umgehen.
„Die C2-Kommunikation erfolgt mit den Täuschungsdomänen und dem echten C2-Server, einschließlich des Versands gestohlener Daten des Opfers“, erklären die Forscher. „Es besteht also die Möglichkeit, dass ein Backup-C2 in den Täuschungs-C2-Domänen versteckt ist und als Ausweichkommunikationskanal genutzt wird, falls die primäre C2-Domäne außer Betrieb genommen wird“.
Die Täuschung beruht auf der Tatsache, dass der Domänenname des echten C&C-Servers neben einer Konfiguration mit 64 Täuschungsdomänen versteckt ist, von denen 16 Domänen zufällig ausgewählt und zwei dieser 16 Domänen durch die gefälschte C&C-Adresse und die echte Adresse ersetzt werden.
Was sich in den neueren Versionen von XLoader geändert hat, ist, dass nach der Auswahl von 16 Täuschungsdomänen aus der Konfiguration die ersten acht Domänen vor jedem Kommunikationszyklus mit neuen Zufallswerten überschrieben werden, wobei die echte Domäne ausgelassen wird.
Außerdem ersetzt XLoader 2.5 drei der Domänen in der erstellten Liste durch zwei Lockvogel-Serveradressen und die echte C&C-Serverdomäne. Das ultimative Ziel ist es, die Entdeckung des echten C&C-Servers aufgrund der Verzögerungen zwischen den Zugriffen auf die Domänen zu verhindern.
Die Tatsache, dass die Malware-Autoren auf die Prinzipien der Wahrscheinlichkeitstheorie zurückgreifen, um auf den legitimen Server zuzugreifen, zeigt einmal mehr, wie Bedrohungsakteure ihre Taktiken immer weiter verfeinern, um ihre schändlichen Ziele zu erreichen.
„Mit diesen Modifikationen werden zwei Ziele gleichzeitig erreicht: Jeder Knoten im Botnetz hält eine konstante Rückschlagquote aufrecht, während er gleichzeitig automatisierte Skripte täuscht und die Entdeckung der echten C&C-Server verhindert“, so die Forscher von Check Point.