![\"Red](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEivkKkO74Wy-QIlcQB6bePMgdSImqEHxXqMOv_cK8Q9OZbL5ebQOV5ToPYFIUEBIWuMlbZk7xJtVu_Sq35AKldNJ7kl5HYIGr6gxWrALPRpHHbfx5TJ4vmqknM-v21W5gk3e--VlnpuOnDoidRiu_pjBvXZzGarR2ibuZ5tTtq3JUKpOsvN5vb5GR8N\/s728-e1000\/botnet.jpg\" "\\"Red")
<\/div>\nSe ha detectado una versi\u00f3n mejorada del malware XLoader que adopta un enfoque basado en la probabilidad para camuflar su infraestructura de comando y control (C&C), seg\u00fan las \u00faltimas investigaciones.<\/p>\n
“Ahora es significativamente m\u00e1s dif\u00edcil separar el trigo de la paja y descubrir los verdaderos servidores C&C entre miles de dominios leg\u00edtimos utilizados por Xloader como cortina de humo”, dijo la empresa de ciberseguridad israel\u00ed Check Point. dijo<\/a>.<\/p>\n Visto por primera vez en la naturaleza en octubre de 2020, XLoader es un sucesor de Formbook y un ladr\u00f3n de informaci\u00f3n multiplataforma que es capaz de saquear las credenciales de los navegadores web, capturar pulsaciones de teclas y capturas de pantalla, y ejecutar comandos y cargas \u00fatiles arbitrarias.<\/p>\n M\u00e1s recientemente, el conflicto geopol\u00edtico en curso entre Rusia y Ucrania ha demostrado ser un forraje lucrativo para distribuyendo Xloader<\/a> por medio de correos electr\u00f3nicos de phishing<\/a> dirigido a funcionarios gubernamentales de alto rango en Ucrania.<\/p>\n Los \u00faltimos hallazgos de Check Point se basan en un informe anterior de Escalador Z<\/a> en enero de 2022, que revel\u00f3 el funcionamiento interno del protocolo de comunicaci\u00f3n y encriptaci\u00f3n de red C&C (o C2) del malware, destacando su uso de servidores se\u00f1uelo para ocultar el servidor leg\u00edtimo y evadir los sistemas de an\u00e1lisis de malware.<\/p>\n “Las comunicaciones C2 ocurren con los dominios se\u00f1uelo y el servidor C2 real, incluido el env\u00edo de datos robados de la v\u00edctima”, explicaron los investigadores. “Por lo tanto, existe la posibilidad de que un C2 de respaldo pueda ocultarse en los dominios C2 de se\u00f1uelo y usarse como un canal de comunicaci\u00f3n alternativo en caso de que se elimine el dominio C2 principal”.<\/p>\n El sigilo proviene del hecho de que el nombre de dominio del servidor C&C real est\u00e1 oculto junto a una configuraci\u00f3n que contiene 64 dominios se\u00f1uelo, de los cuales se eligen aleatoriamente 16 dominios, y luego se reemplazan dos de esos 16 con la direcci\u00f3n C&C falsa y la direcci\u00f3n aut\u00e9ntica.<\/p>\n Lo que cambi\u00f3 en las versiones m\u00e1s nuevas de XLoader es que despu\u00e9s de la selecci\u00f3n de 16 dominios se\u00f1uelo de la configuraci\u00f3n, los primeros ocho dominios se sobrescriben con nuevos valores aleatorios antes de cada ciclo de comunicaci\u00f3n mientras se toman medidas para omitir el dominio real.<\/p>\n Adem\u00e1s, XLoader 2.5 reemplaza tres de los dominios en la lista creada con dos direcciones de servidor de se\u00f1uelo y el dominio del servidor C&C real. El objetivo final es evitar la detecci\u00f3n del servidor C&C real, en funci\u00f3n de los retrasos entre los accesos a los dominios.<\/p>\n El hecho de que los autores del malware hayan recurrido a principios de teor\u00eda de probabilidad<\/a> para acceder al servidor leg\u00edtimo demuestra una vez m\u00e1s c\u00f3mo los actores de amenazas ajustan constantemente sus t\u00e1cticas para promover sus nefastos objetivos.<\/p>\n “Estas modificaciones logran dos objetivos a la vez: cada nodo en la red de bots mantiene una tasa de retroceso constante mientras enga\u00f1a a los scripts automatizados y evita el descubrimiento de los servidores reales de C&C”, dijeron los investigadores de Check Point.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/05\/El-popular-paquete-PyPI-ctx-y-la-biblioteca-PHP-phpass.png\")
<\/a><\/center><\/div>\n![\"Red](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/06\/Nueva-version-de-la-botnet-XLoader-que-utiliza-la-teoria.jpg\" "\\"Red")
<\/div>\n![\"La](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ\/s1600\/crowdsec-728.jpg\")
<\/a><\/center><\/div>\n