Une campagne de logiciels malveillants distribuant le logiciel malveillant Xloader a été observé à l’aide du Technique de chargement latérale DLL En utilisant une application légitime associée à la Fondation Eclipse.
“L’application légitime utilisée dans l’attaque, Jarsigner, est un fichier créé lors de l’installation du package IDE distribué par la Fondation Eclipse”, le Ahnlab Security Intelligence Center (ASEC) dit. “Il s’agit d’un outil pour signer des fichiers JAR (Java Archive).”
La société sud-coréenne de cybersécurité a déclaré que les logiciels malveillants se sont propagés sous la forme d’une archive zip comprimée qui comprend l’exécutable légitime ainsi que les DLL qui sont mis à côté pour lancer le malware –
Documents2012.exe, une version renommée du Jarsigner.exe binaire légitime JLI.dll, un fichier DLL qui est modifié par l’acteur de menace pour décrypter et injecter CONCRT140E.DLL CONCRT140E.DLL, LA CONCROTURE PUDE XLOADER
La chaîne d’attaque traverse la phase malveillante lorsque “Documents2012.Exe” est exécuté, déclenchant l’exécution de la bibliothèque falsifiée “Jli.dll” pour charger le malware Xloader.
“Le fichier CONCRT140E.DLL distribué est une charge utile cryptée qui est décryptée pendant le processus d’attaque et injectée dans le fichier légitime aspnet_wp.exe pour l’exécution”, a déclaré ASEC.
“Les logiciels malveillants injectés, Xloader, volent des informations sensibles telles que les informations sur PC et le navigateur de l’utilisateur, et effectue diverses activités telles que le téléchargement de logiciels malveillants supplémentaires.”
Successeur du Formbook malware, Xloader a été détecté pour la première fois dans la nature en 2020. Il est disponible à la vente à d’autres acteurs criminels dans le cadre d’un modèle de logiciel malveillant en tant que service (MAAS). En août 2023, une version macOS du voleur d’informations et de Keylogger a été découverte en imitant Microsoft Office.
“Les versions Xloader 6 et 7 incluent des couches d’obscurcissement et de chiffrement supplémentaires destinées à protéger le code critique et les informations pour vaincre la détection basée sur la signature et compliquer les efforts d’ingénierie inverse”, Zscaler ThreatLabz dit Dans un rapport en deux parties publié ce mois-ci.
“Xloader a introduit des techniques qui ont été observées précédemment dans SmokeLoader, notamment en cryptage des parties de code lors de l’évasion de l’exécution et du hook ntdll.”
Une analyse plus approfondie des logiciels malveillants a révélé son utilisation de listes de leurre à code dur pour mélanger les communications réseau réelles de commandement et de contrôle (C2) avec le trafic vers des sites Web légitimes. Les leurres et les serveurs C2 réels sont chiffrés à l’aide de différentes clés et algorithmes.
Comme dans le cas de familles de logiciels malveillants comme Coup de pousséel’intention derrière l’utilisation de leurres est de générer du trafic réseau vers des domaines légitimes afin de masquer le trafic réel C2.
Le chargement latéral DLL a également été maltraité Par l’acteur Smartapesg (AKA ZPHP ou Haneymaney) pour livrer le rat Netsupport via des sites Web légitimes compromis avec des injects Web JavaScript, le Troie à l’accès à distance agissant comme un conduit pour abandonner le Stealer Stealer.
Le développement intervient alors que Zscaler a détaillé deux autres chargeurs de logiciels malveillants nommés Nodeloader et Riseloadeur Cela a été utilisé pour distribuer un large éventail de voleurs d’informations, de mineurs de crypto-monnaie et de logiciels malveillants de botnet tels que Vidar, Lumma, Phemedrone, XMRIG et SOCKS5Systemz.
“Riseloader et Risepro partagent plusieurs similitudes dans leurs protocoles de communication de réseau, y compris la structure des messages, le processus d’initialisation et la structure de la charge utile”, a-t-il noté. “Ces chevauchements peuvent indiquer que le même acteur de menace est derrière les deux familles de logiciels malveillants.”




