Kampanja distribucije malvera XLoader primijećena je kako koristi tehniku bočnog učitavanja DLL-a (DLL side-loading) putem legitimne aplikacije povezane s Eclipse Foundation.
“Legitimna aplikacija korištena u napadu, jarsigner, je datoteka kreirana tokom instalacije IDE paketa koji distribuiše Eclipse Foundation,” navodi AhnLab Security Intelligence Center (ASEC). “To je alat za potpisivanje JAR (Java Archive) datoteka.”
Južnokorejska kompanija za cyber sigurnost navodi da se malver širi u obliku kompresovane ZIP arhive, koja sadrži legitimni izvršni fajl, kao i DLL biblioteke koje su bočno učitane kako bi pokrenule malver:
- Documents2012.exe, preimenovana verzija legitimne datoteke jarsigner.exe
- jli.dll, DLL datoteka izmijenjena od strane napadača kako bi dešifrovala i ubrizgala concrt140e.dll
- concrt140e.dll, XLoader payload
Napad prelazi u malicio fazu kada se pokrene “Documents2012.exe”, što aktivira izvršenje izmijenjene “jli.dll” biblioteke kako bi učitala XLoader malver.
“Distribuisana datoteka concrt140e.dll je šifrovani payload koji se dešifruje tokom napada i ubrizgava u legitimni fajl aspnet_wp.exe radi izvršenja,” navodi ASEC.
“Ubrizgani malver, XLoader, krade osjetljive informacije, poput podataka o korisnikovom računaru i pretređivaču, te izvodi razne aktivnosti poput preuzimanja dodatnog malvera.”
XLoader – nasljednik Formbook malvera
XLoader, nasljednik Formbook malvera, prvi put je otkriven u divljini 2020. godine. Dostupan je na prodaju drugim kriminalnim hakerima pod modelom Malware-as-a-Service (MaaS).
U augustu 2023. otkrivena je macOS verzija ovog kradljivca informacija i keyloggera, koji se lažno predstavljao kao Microsoft Office.
“Verzije XLoader-a 6 i 7 uključuju dodatne slojeve prikrivanja i enkripcije kako bi zaštitile ključni kod i informacije, otežale detekciju putem potpisa i zakomplikovale obrnuti inženjering,” navodi Zscaler ThreatLabz u dvodijelnom izvještaju objavljenom ovog mjeseca.
XLoader je takođe implementirao tehnike ranije viđene u SmokeLoader-u, uključujući šifrovanje dijelova koda u vrijeme izvođenja i izbjegavanje NTDLL hookova.
Dodatna analiza malvera otkrila je upotrebu hardkodiranih lažnih lista kako bi se stvarna komunikacija s komandno-kontrolnim (C2) serverima prikrila generisanjem mrežnog saobraćaja prema legitimnim web lokacijama. Pravi C2 serveri i lažni saobraćaj šifrirani su različitim ključevima i algoritmima.
Slične tehnike korištene su kod malvera Pushdo, gdje je cilj generisanje mrežnog prometa prema legitimnim domenama kako bi se prikrio stvarni C2 saobraćaj.
DLL side-loading u drugim napadima
DLL bočno učitavanje (side-loading) takođe je iskorišteno od strane napadača SmartApeSG (poznatog i kao ZPHP ili HANEYMANEY) za isporuku NetSupport RAT-a putem kompromitovanih web stranica koje su ubrizgale maliciozni JavaScript kod. NetSupport RAT je tada korišten za preuzimanje malvera StealC stealer.
Ovaj razvoj dolazi u trenutku kada je Zscaler objavio detalje o još dva malver loadera – NodeLoader i RiseLoader – koji se koriste za distribuciju širokog spektra malvera, uključujući:
- Vidar
- Lumma
- Phemedrone
- XMRig (kriptominer)
- Socks5Systemz (botnet malver)
“RiseLoader i RisePro dijele nekoliko sličnosti u svojim komunikacijskim protokolima, uključujući strukturu poruka, proces inicijalizacije i strukturu payload-a,” navodi Zscaler. “Ove sličnosti mogu ukazivati na to da je isti napadač odgovoran za obje porodice malvera.”
Izvor:The Hacker News