Botnet XLoader usa teoria da probabilidade para esconder seus servidores

Segundo os pesquisadores da Check Point, o novo Botnet XLoader usa teoria da probabilidade para esconder seus servidores.

O XLoader é um ladrão de informações originalmente baseado no Formbook, direcionado aos sistemas operacionais Windows e macOS. Ele entrou em implantação generalizada pela primeira vez em janeiro de 2021.

Agora, analistas de ameaças identificaram uma nova versão do malware XLoader botnet que usa a teoria da probabilidade para ocultar seus servidores de comando e controle, dificultando a interrupção da operação do malware.

Isso ajuda os operadores de malware a continuar usando a mesma infraestrutura sem o risco de perder nós devido a bloqueios em endereços IP identificados, além de reduzir as chances de serem rastreados e identificados.

Botnet XLoader usa teoria da probabilidade para esconder seus servidores

Botnet XLoader usa teoria da probabilidade para esconder seus servidores
Botnet XLoader usa teoria da probabilidade para esconder seus servidores

Pesquisadores da Check Point, que têm acompanhado a evolução do malware, testaram e analisaram as versões mais recentes do XLoader 2.5 e 2.6 e detectaram algumas diferenças críticas em relação às versões anteriores.

O XLoader já camuflava seus servidores de comando e controle (C2) reais na versão 2.3, ocultando o nome de domínio real em uma configuração que inclui 63 iscas.

Botnet XLoader usa teoria da probabilidade para esconder seus servidores
Botnet XLoader usa teoria da probabilidade para esconder seus servidores – Escondendo o domínio real entre 63 chamarizes (CheckPoint)

Nas versões mais recentes, porém, os analistas da Check Point notaram que o malware substitui 8 de uma lista de domínios escolhidos aleatoriamente dos 64 em sua lista de configuração com novos valores em cada tentativa de comunicação.
Botnet XLoader usa teoria da probabilidade para esconder seus servidores
Botnet XLoader usa teoria da probabilidade para esconder seus servidores – Substituindo domínios aleatórios na lista (CheckPoint)

A CheckPoint explica que:

“Se o domínio C&C real aparecer na segunda parte da lista, ele será acessado em cada ciclo uma vez a cada 80-90 segundos aproximadamente. Se aparecer na primeira parte da lista, será substituído por outro nome de domínio aleatório.”

“Os oito domínios que substituem a primeira parte da lista são escolhidos aleatoriamente, e o domínio C&C real pode ser um deles. Nesse caso, a probabilidade de um servidor C&C real ser acessado no próximo ciclo é de 7/64 ou 1/8 dependendo da posição do domínio ‘falso c2 (2)'”.

Isso ajuda a disfarçar os servidores C2 reais dos analistas de segurança, mantendo o impacto nas operações do malware no mínimo.

O acesso C2 bem-sucedido resulta da lei dos grandes números, que aumenta as probabilidades de obter o resultado esperado com tentativas suficientes.

Como a CheckPoint explica na tabela a seguir, os analistas de ameaças teriam que realizar uma longa emulação para derivar o endereço C2 real, o que é uma prática atípica e inutiliza todos os scripts automatizados.

Tabela de probabilidades (CheckPoint)
Tabela de probabilidades (CheckPoint)

Ao mesmo tempo, para os operadores de malware, seria improvável que o XLoader não entrasse em contato com o endereço C2 genuíno uma hora após a infecção.

Na versão 2.6, a CheckPoint notou que o XLoader removeu essa funcionalidade da versão de 64 bits do payload, onde o malware sempre entra em contato com o domínio C2 real.

No entanto, em sistemas de 32 bits, que são muito comuns em sandboxes hospedadas em máquinas virtuais usadas por analistas de ameaças, o XLoader mantém a nova ofuscação C2.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

1 comentário em “Como converter imagens para vídeo no Linux”

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.