Malware EXPLORA Eclipse para distribuir XLoader
20 de Fevereiro de 2025

Uma campanha de malware distribuindo o XLoader foi observada utilizando a técnica de DLL side-loading, aproveitando-se de uma aplicação legítima associada à Eclipse Foundation.

"A aplicação legítima utilizada no ataque, jarsigner, é um arquivo criado durante a instalação do pacote IDE distribuído pela Eclipse Foundation", afirmou o AhnLab Security Intelligence Center (ASEC).

É uma ferramenta para assinar arquivos JAR (Java Archive).

A firma sul-coreana de cibersegurança disse que o malware é propagado na forma de um arquivo ZIP comprimido que inclui o executável legítimo além das DLLs que são carregadas lateralmente para iniciar o malware:

- Documents2012.exe, uma versão renomeada do binário jarsigner.exe legítimo
- jli.dll, um arquivo DLL modificado pelo ator de ameaças para descriptografar e injetar concrt140e.dll
- concrt140e.dll, o payload do XLoader

A cadeia de ataque transita para a fase maliciosa quando "Documents2012.exe" é executado, desencadeando a execução da biblioteca "jli.dll" adulterada para carregar o malware XLoader.

"O arquivo concrt140e.dll distribuído é um payload criptografada que é descriptografada durante o processo de ataque e injetada no arquivo legítimo aspnet_wp.exe para execução", disse o ASEC.

O malware injetado, XLoader, rouba informações sensíveis como informações do PC e do navegador do usuário, e executa várias atividades como o download de malware adicional.

Sucessor do malware Formbook, o XLoader foi detectado pela primeira vez em atividade em 2020.

Está disponível para venda para outros atores criminosos sob um modelo de Malware-as-a-Service (MaaS).

Em agosto de 2023, foi descoberta uma versão para macOS do ladrão de informações e keylogger se passando por Microsoft Office.

"As versões 6 e 7 do XLoader incluem camadas adicionais de ofuscação e criptografia destinadas a proteger código crítico e informações para derrotar a detecção baseada em assinaturas e complicar esforços de engenharia reversa", disse a Zscaler ThreatLabz em um relatório publicado este mês.

O XLoader introduziu técnicas que foram previamente observadas no SmokeLoader, incluindo criptografar partes do código em tempo de execução e evasão de hook NTDLL.

Análises adicionais do malware revelaram seu uso de listas de distração codificadas para misturar comunicações reais de rede command-and-control (C2) com tráfego para sites legítimos.

Tanto os iscos quanto os servidores C2 reais são criptografados usando chaves e algoritmos diferentes.

Como no caso de famílias de malware como Pushdo, a intenção por trás do uso de iscos é gerar tráfego de rede para domínios legítimos a fim de disfarçar o tráfego C2 real.

DLL side-loading também foi abusado pelo ator de ameaça SmartApeSG (também conhecido como ZPHP ou HANEYMANEY) para entregar o NetSupport RAT via sites legítimos comprometidos com injeções de JavaScript, com o trojan de acesso remoto atuando como um conduto para soltar o stealer StealC.

O desenvolvimento ocorre enquanto a Zscaler detalhou outros dois carregadores de malware denominados NodeLoader e RiseLoader que foram usados para distribuir uma ampla gama de ladrões de informações, mineradores de criptomoedas e malware de botnet como Vidar, Lumma, Phemedrone, XMRig e Socks5Systemz.

"RiseLoader e RisePro compartilham várias semelhanças em seus protocolos de comunicação de rede, incluindo estrutura de mensagens, processo de inicialização e estrutura de payload", observou.

Essas sobreposições podem indicar que o mesmo ator de ameaça está por trás de ambas as famílias de malware.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...