Selon les derni\u00e8res recherches, une version am\u00e9lior\u00e9e du logiciel malveillant XLoader adopte une approche bas\u00e9e sur les probabilit\u00e9s pour camoufler son infrastructure de commande et de contr\u00f4le (C&C).<\/p>\n
“Maintenant, il est beaucoup plus difficile de s\u00e9parer le bon grain de l’ivraie et de d\u00e9couvrir les vrais serveurs C&C parmi des milliers de domaines l\u00e9gitimes utilis\u00e9s par Xloader comme \u00e9cran de fum\u00e9e”, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 isra\u00e9lienne de cybers\u00e9curit\u00e9 Check Point. a dit<\/a>.<\/p>\n Rep\u00e9r\u00e9 pour la premi\u00e8re fois dans la nature en octobre 2020, XLoader est le successeur de Formbook et un voleur d’informations multiplateforme capable de piller les informations d’identification des navigateurs Web, de capturer des frappes et des captures d’\u00e9cran et d’ex\u00e9cuter des commandes et des charges utiles arbitraires.<\/p>\n Plus r\u00e9cemment, le conflit g\u00e9opolitique en cours entre la Russie et l’Ukraine s’est av\u00e9r\u00e9 \u00eatre une source lucrative pour distribution de XLoader<\/a> au moyen de e-mails d’hame\u00e7onnage<\/a> destin\u00e9 aux hauts fonctionnaires ukrainiens.<\/p>\n Les derni\u00e8res d\u00e9couvertes de Check Point s’appuient sur un pr\u00e9c\u00e9dent rapport de \u00c9chelle Z<\/a> en janvier 2022, qui a r\u00e9v\u00e9l\u00e9 le fonctionnement interne du protocole de chiffrement et de communication r\u00e9seau C&C (ou C2) du logiciel malveillant, notant son utilisation de serveurs leurres pour dissimuler le serveur l\u00e9gitime et \u00e9chapper aux syst\u00e8mes d’analyse des logiciels malveillants.<\/p>\n “Les communications C2 se produisent avec les domaines leurres et le vrai serveur C2, y compris l’envoi de donn\u00e9es vol\u00e9es \u00e0 la victime”, ont expliqu\u00e9 les chercheurs. “Ainsi, il est possible qu’un C2 de secours puisse \u00eatre cach\u00e9 dans les domaines C2 leurres et \u00eatre utilis\u00e9 comme canal de communication de secours dans le cas o\u00f9 le domaine C2 principal serait supprim\u00e9.”<\/p>\n La furtivit\u00e9 vient du fait que le nom de domaine du vrai serveur C&C est cach\u00e9 \u00e0 c\u00f4t\u00e9 d’une configuration contenant 64 domaines leurres, \u00e0 partir desquels 16 domaines sont choisis au hasard, suivis du remplacement de deux de ces 16 par la fausse adresse C&C et l’adresse authentique.<\/p>\n Ce qui a chang\u00e9 dans les nouvelles versions de XLoader, c’est qu’apr\u00e8s la s\u00e9lection de 16 domaines leurres dans la configuration, les huit premiers domaines sont \u00e9cras\u00e9s par de nouvelles valeurs al\u00e9atoires avant chaque cycle de communication tout en prenant des mesures pour ignorer le domaine r\u00e9el.<\/p>\n De plus, XLoader 2.5 remplace trois des domaines de la liste cr\u00e9\u00e9e par deux adresses de serveur leurre et le vrai domaine de serveur C&C. Le but ultime est d’emp\u00eacher la d\u00e9tection du vrai serveur C&C, en fonction des d\u00e9lais entre les acc\u00e8s aux domaines.<\/p>\n Le fait que les auteurs de logiciels malveillants aient eu recours \u00e0 des principes de th\u00e9orie des probabilit\u00e9s<\/a> acc\u00e9der au serveur l\u00e9gitime d\u00e9montre une fois de plus comment les acteurs de la menace affinent constamment leurs tactiques pour atteindre leurs objectifs inf\u00e2mes.<\/p>\n “Ces modifications atteignent deux objectifs \u00e0 la fois\u00a0: chaque n\u0153ud du botnet maintient un taux de knockback constant tout en trompant les scripts automatis\u00e9s et en emp\u00eachant la d\u00e9couverte des vrais serveurs C&C”, ont d\u00e9clar\u00e9 les chercheurs de Check Point.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEjs4_qytN4g_voTT8EnYjXf1exVDRaJAFCbNDgniqiJGlOEIxqyqhdyepXuEycqrdL2O8Kr9N1ECYeAOpkm3SjCEZ3v4qkn2U35_5ruG01Jl6vd63zdMh5L62awds2UV50QyzEtSbzrTrWmYwmbBHxi4Tgjz-VueHJyMj-Wq40R--saAZfQBzuZQpWkIw\/s1600\/Bitbucket-ads.png\")
<\/a><\/div>\n![\"XLoader](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/06\/1654081743_244_Nouvelle-version-du-botnet-XLoader-utilisant-la-theorie-des-probabilites.jpg\" "\\"XLoader")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650021915_454_Haskers-Gang-donne-gratuitement-le-logiciel-malveillant-ZingoStealer-a-dautres.jpg\")
<\/a><\/div>\n