Xloader kötü amaçlı yazılımlarını dağıtan bir kötü amaçlı yazılım kampanyası, DLL Yan Yükleme Tekniği Eclipse Foundation ile ilişkili meşru bir uygulamadan yararlanarak.
Ahnlab Güvenlik İstihbarat Merkezi (ASEC), “Saldırıda kullanılan meşru uygulama, Jarsigner, Eclipse Foundation tarafından dağıtılan IDE paketinin kurulumu sırasında oluşturulan bir dosyadır.” söz konusu. “Jar (Java Arşivi) dosyalarını imzalamak için bir araçtır.”
Güney Koreli siber güvenlik firması, kötü amaçlı yazılımın, meşru yürütülebilir dosyayı içeren sıkıştırılmış bir fermuar arşivi ve kötü amaçlı yazılımları başlatmak için yan yüklenen DLL’leri içeren bir sıkıştırılmış zip arşivi şeklinde yayıldığını söyledi –
Belgeler2012.exe, meşru jarsigner.exe ikili jli.dll’nin yeniden adlandırılmış bir sürümü, tehdit oyuncusu tarafından boncript140e.dll conct140e.dll, xloader yükünü şifresini çözmek ve enjekte etmek için değiştirilen bir DLL dosyası
“Documents2012.exe” çalıştırıldığında saldırı zinciri kötü niyetli aşamaya geçer ve Xloader kötü amaçlı yazılımları yüklemek için kurcalanmış “jli.dll” kütüphanesinin yürütülmesini tetikler.
ASEC, “Dağıtılmış beton140e.dll dosyası, saldırı işlemi sırasında şifre çözülen ve yürütme için meşru ASPNET_WP.EXE enjekte edilen şifreli bir yüktür.” Dedi.
“Enjekte edilen kötü amaçlı yazılım, Xloader, kullanıcının PC ve tarayıcı bilgileri gibi hassas bilgileri çalıyor ve ek kötü amaçlı yazılım indirme gibi çeşitli etkinlikler gerçekleştiriyor.”
Formbook kötü amaçlı yazılımın halefi olan Xloader ilk olarak 2020’de Wild’da tespit edildi. Hizmet olarak kötü amaçlı yazılım (MAAS) modeli altında diğer suçlu aktörlere satışa sunulabilir. Ağustos 2023’te Information Stealer ve KeyLogger’ın macOS sürümü Microsoft Office taklit edildiği keşfedildi.
“Xloader sürümleri 6 ve 7, imza tabanlı tespiti yenmek ve ters mühendislik çabalarını karmaşıklaştırmak için kritik kodu ve bilgileri korumak için tasarlanan ek şaşkınlık ve şifreleme katmanları içerir.” söz konusu Bu ay yayınlanan iki bölümlük bir raporda.
“Xloader, daha önce Smokeloader’da, çalışma zamanında kod parçalarını şifrelemek ve NTDLL Hook Kaçma da dahil olmak üzere, daha önce gözlemlenen teknikleri tanıttı.”
Kötü amaçlı yazılımların daha fazla analizi, gerçek komut ve kontrol (C2) ağ iletişimini meşru web sitelerine trafikle harmanlamak için sert kodlanmış tuzak listeleri kullanımını ortaya çıkarmıştır. Hem tuzaklar hem de gerçek C2 sunucuları farklı anahtarlar ve algoritmalar kullanılarak şifrelenir.
Kötü amaçlı yazılım aileleri gibi PushdoDecoys kullanmanın arkasındaki niyet, gerçek C2 trafiğini gizlemek için meşru alanlara ağ trafiği oluşturmaktır.
DLL yan yükleme de istismar edilmiş Smartapesg (diğer adıyla Zphp veya Haneymaney) tarafından, JavaScript web enjektileri ile tehlikeye atılan meşru web siteleri aracılığıyla Netsupport farını sunmak için tehdit oyuncusu, uzaktan erişim Truva atı Stealc Stealer’ı bırakmak için bir kanal görevi görüyor.
Geliştirme, Zscaler’ın detaylandırılmış iki kötü amaçlı yazılımcı detaylı olarak gelir Nodelooter Ve Yükseltici Bu, çok çeşitli bilgi çalmacılar, kripto para madencileri ve viDar, Lumma, Phemedrone, XMRIG ve SOCKS5Systemz gibi botnet kötü amaçlı yazılımları dağıtmak için kullanılmıştır.
“Riseloader ve Risepro, ağ iletişim protokollerinde mesaj yapısı, başlatma işlemi ve yük yapısı dahil olmak üzere çeşitli benzerlikleri paylaşıyor.” Diyerek şöyle devam etti: “Bu örtüşmeler aynı tehdit oyuncunun her iki kötü amaçlı yazılım ailesinin arkasında olduğunu gösterebilir.”
