Uma campanha de malware distribuindo o XLoader foi observada utilizando a técnica de DLL side-loading, aproveitando-se de uma aplicação legítima associada à Eclipse Foundation.
"A aplicação legítima utilizada no ataque, jarsigner, é um arquivo criado durante a instalação do pacote IDE distribuído pela Eclipse Foundation", afirmou o AhnLab Security Intelligence Center (ASEC).
É uma ferramenta para assinar arquivos JAR (Java Archive).
A firma sul-coreana de cibersegurança disse que o malware é propagado na forma de um arquivo ZIP comprimido que inclui o executável legítimo além das DLLs que são carregadas lateralmente para iniciar o malware:
- Documents2012.exe, uma versão renomeada do binário jarsigner.exe legítimo
- jli.dll, um arquivo DLL modificado pelo ator de ameaças para descriptografar e injetar concrt140e.dll
- concrt140e.dll, o payload do XLoader
A cadeia de ataque transita para a fase maliciosa quando "Documents2012.exe" é executado, desencadeando a execução da biblioteca "jli.dll" adulterada para carregar o malware XLoader.
"O arquivo concrt140e.dll distribuído é um payload criptografada que é descriptografada durante o processo de ataque e injetada no arquivo legítimo aspnet_wp.exe para execução", disse o ASEC.
O malware injetado, XLoader, rouba informações sensíveis como informações do PC e do navegador do usuário, e executa várias atividades como o download de malware adicional.
Sucessor do malware Formbook, o XLoader foi detectado pela primeira vez em atividade em 2020.
Está disponível para venda para outros atores criminosos sob um modelo de Malware-as-a-Service (MaaS).
Em agosto de 2023, foi descoberta uma versão para macOS do ladrão de informações e keylogger se passando por Microsoft Office.
"As versões 6 e 7 do XLoader incluem camadas adicionais de ofuscação e criptografia destinadas a proteger código crítico e informações para derrotar a detecção baseada em assinaturas e complicar esforços de engenharia reversa", disse a Zscaler ThreatLabz em um relatório publicado este mês.
O XLoader introduziu técnicas que foram previamente observadas no SmokeLoader, incluindo criptografar partes do código em tempo de execução e evasão de hook NTDLL.
Análises adicionais do malware revelaram seu uso de listas de distração codificadas para misturar comunicações reais de rede command-and-control (C2) com tráfego para sites legítimos.
Tanto os iscos quanto os servidores C2 reais são criptografados usando chaves e algoritmos diferentes.
Como no caso de famílias de malware como Pushdo, a intenção por trás do uso de iscos é gerar tráfego de rede para domínios legítimos a fim de disfarçar o tráfego C2 real.
DLL side-loading também foi abusado pelo ator de ameaça SmartApeSG (também conhecido como ZPHP ou HANEYMANEY) para entregar o NetSupport RAT via sites legítimos comprometidos com injeções de JavaScript, com o trojan de acesso remoto atuando como um conduto para soltar o stealer StealC.
O desenvolvimento ocorre enquanto a Zscaler detalhou outros dois carregadores de malware denominados NodeLoader e RiseLoader que foram usados para distribuir uma ampla gama de ladrões de informações, mineradores de criptomoedas e malware de botnet como Vidar, Lumma, Phemedrone, XMRig e Socks5Systemz.
"RiseLoader e RisePro compartilham várias semelhanças em seus protocolos de comunicação de rede, incluindo estrutura de mensagens, processo de inicialização e estrutura de payload", observou.
Essas sobreposições podem indicar que o mesmo ator de ameaça está por trás de ambas as famílias de malware.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...