Botnet XLoader implementa nueva técnica para ocultar su infraestructura C&C

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Investigadores de Check Point han descubierto una nueva versión de la botnet XLoader, que implementa mejoras significativas, como una nueva técnica para ocultar la infraestructura de Comando y Control.

XLoader se ha observado desde 2020, y es una variedad de malware muy barata que se basa en el popular malware Formbook Windows.

Los expertos de Check Point ahora afirman que es significativamente más difícil determinar los servidores C2 reales entre miles de dominios legítimos utilizados por los operadores como cortina de humo.

Los investigadores señalaron que todas las muestras de XLoader tienen 64 dominios y un URI en sus configuraciones. XLoader y Formbook comparten la misma estructura de configuración, los 64 dominios de la configuración del malware son en realidad señuelos, utilizados como una estrategia diversa.

A partir de la versión 4.1 de Formbook y las primeras versiones de XLoader (hasta la 2.5), los desarrolladores ocultaron un nombre de dominio para el servidor de C&C real entre los 64 señuelos, mientras que el URI que siempre se pensó que era una dirección del servidor de C&C se convirtió en otro señuelo. y se utiliza para un sitio web legítimo. El código malicioso analizado por los investigadores elige aleatoriamente 16 dominios señuelo, dos de los cuales se reemplazan con la dirección del servidor C&C falso y una dirección del servidor C&C real. Para dificultar el análisis, se accede al servidor C2 real solo después de un largo retraso.

En las últimas versiones analizadas por Check Point, el malware primero selecciona 16 dominios señuelo de la configuración, luego los primeros ocho dominios se sobrescriben con nuevos valores aleatorios antes de cada ciclo de comunicación mientras toma medidas para omitir el dominio real.

Lo que cambió en las versiones más nuevas de XLoader es que después de la selección de 16 dominios señuelo de la configuración, los primeros ocho dominios se sobrescriben con nuevos valores aleatorios antes de que se seleccionaran inmediatamente después del lanzamiento.

Los expertos también notaron que XLoader 2.5 reemplaza tres dominios en la lista creada con 2 señuelos y el dominio real del servidor C&C.

"En julio de 2021, describimos el método para descubrir servidores C&C reales entre los miles de servidores legítimos abusados por XLoader v.2.3. El XLoader v.2.5 actualizado introdujo cambios significativos en este algoritmo utilizando el poder de la Ley de los Grandes Números de la teoría de la probabilidad".

Check Point concluye.

"Estas modificaciones logran dos objetivos a la vez: cada nodo en la red de bots mantiene una tasa de retroceso constante mientras engaña a los scripts automatizados y evita el descubrimiento de los servidores reales de C&C. Este último de hecho se volvió más difícil, pero... no imposible".

Fuente:
SecurityAffairs
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta