Xloader elemzése (2. rész)
A Zscaler kutatói az Xloader malware 6. és 7. változatait vizsgálták meg részletesen. Az Xloader egy fejlett információlopó (infostealer) malware, amely a Formbook nevű kártevőre épül, és célja a felhasználói adatok, például a böngészőben tárolt jelszavak, űrlapadatok, e-mail kliens adatainak és FTP hitelesítő adatok ellopása. Az Xloader jellemzően adathalász és spam kampányok útján terjed, gyakran e-mail mellékletekben található rosszindulatú fájlok formájában.
A Zscaler elemzésének második részében azt vizsgálják a kutatók, hogy az Xloader hogyan obfuszkálja a C2 kódot és az adatokat, hogy megnehezítse az elemzést. Az Xloader legújabb verzióinak hálózati kommunikációs protokolljába is beleásták magukat a kutatók, ami többrétegű titkosítással és hamis szerverekkel igyekszik elkerülni a felderítést.
A legfontosabb megállapítások
Az Xloader 6. és 7. verziója fejlett obfuszkációs technikákat használ a kód és az adatok kritikus részeinek elrejtésére.
A rosszindulatú szoftver továbbra is hardcoded csali listákat használ, hogy összekeverje a C2 hálózati kommunikációt a legitim webhelyek forgalmával.
A csali listák és a C2 szerver különböző kulcsokkal és algoritmusokkal vannak titkosítva.
Az Xloader 6. és 7. verziója ugyanazt a többszintű titkosítással védett hálózati protokollt használja.
A Zscaler megosztotta az IOC-kat is.
