
Se ha observado una campaña de malware que distribuye el malware Xloader utilizando el Técnica de carga lateral de DLL Haciendo uso de una aplicación legítima asociada con la Fundación Eclipse.
“La aplicación legítima utilizada en el ataque, Jarsigner, es un archivo creado durante la instalación del paquete IDE distribuido por la Fundación Eclipse”, el Centro de Inteligencia de Seguridad AhnLab (ASEC) dicho. “Es una herramienta para firmar archivos JAR (Java Archive)”.
La firma de ciberseguridad de Corea del Sur dijo que el malware se propaga en forma de un archivo postal comprimido que incluye el ejecutable legítimo, así como los DLL que se acompañan para lanzar el malware,
Documentos2012.exe, una versión renombrada del legítimo jarsigner.exe binary jli.dll, un archivo DLL modificado por el actor de amena
La cadena de ataque se cruza a la fase maliciosa cuando se ejecuta “Documentos2012.exe”, lo que desencadena la ejecución de la biblioteca “jli.dll” tamplízis para cargar el malware xloader.
“El archivo distribuido Concrt140e.dll es una carga útil cifrada que se descifra durante el proceso de ataque e inyectado en el archivo legítimo ASPNET_WP.EXE para su ejecución”, dijo ASEC.
“El malware inyectado, Xloader, roba información confidencial, como la PC del usuario y la información del navegador, y realiza diversas actividades como la descarga de malware adicional”.
Un sucesor del Formbook Malware, Xloader se detectó por primera vez en la naturaleza en 2020. Está disponible para la venta a otros actores criminales bajo un modelo de malware como servicio (MAAS). En agosto de 2023, se descubrió una versión de MacOS del robador de información y Keylogger que se hace pasar por Microsoft Office.
“Las versiones de Xloader 6 y 7 incluyen capas adicionales de ofuscación y cifrado destinados a proteger el código crítico y la información para derrotar la detección basada en la firma y complicar los esfuerzos de ingeniería inversa”, Zscaler Amenazlabz dicho En un informe de dos partes publicado este mes.
“Xloader ha introducido técnicas que se observaron previamente en Smokeloader, incluidas las partes de código de Code en tiempo de ejecución y la evasión de gancho NTDLL”.
Un análisis posterior del malware ha revelado su uso de listas de señuelo codificadas para combinar comunicaciones de red de comando y control real (C2) con tráfico a sitios web legítimos. Tanto los señuelos como los servidores C2 reales están encriptados usando diferentes claves y algoritmos.
Como en el caso de familias de malware como Empujela intención detrás del uso de señuelos es generar tráfico de red para dominios legítimos para disfrazar el tráfico real C2.
La carga lateral de DLL también ha sido abusado por el actor de amenaza de Smartapesg (también conocido como ZPHP o Haneymaney) para entregar NetSupport Rat a través de sitios web legítimos comprometidos con inyecciones web de JavaScript, con el Troya de acceso remoto que actúa como un conducto para soltar el robador de stealc.
El desarrollo se produce cuando ZScaler detalló otros dos cargadores de malware llamados Nodeloader y Rescatista Eso se ha utilizado para distribuir una amplia gama de robadores de información, mineros de criptomonedas y malware Botnet como Vidar, Lumma, Phemedrone, XMrig y Socks5Systemz.
“Riseloader y Risepro comparten varias similitudes en sus protocolos de comunicación de red, incluida la estructura de mensajes, el proceso de inicialización y la estructura de carga útil”, señaló. “Estas superposiciones pueden indicar que el mismo actor de amenaza está detrás de ambas familias de malware”.






