Se ha observado una campaña de malware que distribuye el malware XLoader mediante la técnica de carga lateral de DLL haciendo uso de una aplicación legítima asociada con Eclipse Foundation.
«La aplicación legítima utilizada en el ataque, jarsigner, es un archivo creado durante la instalación del paquete IDE distribuido por la Fundación Eclipse», indicó el Centro de Inteligencia de Seguridad de AhnLab (ASEC) . «Es una herramienta para firmar archivos JAR (Java Archive)».
La empresa de ciberseguridad de Corea del Sur dijo que el malware se propaga en forma de un archivo ZIP comprimido que incluye el ejecutable legítimo, así como las DLL que se cargan lateralmente para ejecutar el malware.
Documents2012.exe, una versión renombrada del binario legítimo jarsigner.exe jli.dll, un archivo DLL modificado por el actor de amenazas para descifrar e inyectar concrt140e.dll concrt140e.dll, la carga útil de XLoader
La cadena de ataque pasa a la fase maliciosa cuando se ejecuta «Documents2012.exe», lo que desencadena la ejecución de la biblioteca manipulada «jli.dll» para cargar el malware XLoader.
«El archivo concrt140e.dll distribuido es una carga útil cifrada que se descifra durante el proceso de ataque y se inyecta en el archivo legítimo aspnet_wp.exe para su ejecución», afirmó ASEC.
«El malware inyectado, XLoader, roba información confidencial, como información del PC y del navegador del usuario, y realiza diversas actividades, como descargar malware adicional».
XLoader, sucesor del malware Formbook, se detectó por primera vez en 2020. Está disponible para su venta a otros actores delictivos bajo un modelo de malware como servicio (MaaS). En agosto de 2023, se descubrió una versión para macOS del ladrón de información y keylogger que se hacía pasar por Microsoft Office.
«Las versiones 6 y 7 de XLoader incluyen capas adicionales de ofuscación y cifrado destinadas a proteger el código y la información críticos para derrotar la detección basada en firmas y complicar los esfuerzos de ingeniería inversa», dijo Zscaler ThreatLabz en un informe de dos partes publicado este mes.
«XLoader ha introducido técnicas que se observaron previamente en SmokeLoader, incluido el cifrado de partes de código en tiempo de ejecución y la evasión de ganchos NTDLL».
Un análisis más detallado del malware ha revelado que utiliza listas de señuelos codificadas de forma rígida para combinar las comunicaciones de red de comando y control (C2) reales con el tráfico a sitios web legítimos. Tanto los señuelos como los servidores C2 reales están cifrados mediante claves y algoritmos diferentes.
Al igual que en el caso de familias de malware como Pushdo , la intención detrás del uso de señuelos es generar tráfico de red hacia dominios legítimos para disfrazar el tráfico C2 real.
El actor de amenazas SmartApeSG (también conocido como ZPHP o HANEYMANEY) también ha abusado de la carga lateral de DLL para distribuir NetSupport RAT a través de sitios web legítimos comprometidos con inyecciones web de JavaScript , y el troyano de acceso remoto actúa como un conducto para colocar el ladrón StealC .
El desarrollo se produce cuando Zscaler detalló otros dos cargadores de malware llamados NodeLoader y RiseLoader que se han utilizado para distribuir una amplia gama de ladrones de información, mineros de criptomonedas y malware de botnet como Vidar , Lumma , Phemedrone , XMRig y Socks5Systemz .
«RiseLoader y RisePro comparten varias similitudes en sus protocolos de comunicación de red, incluida la estructura de los mensajes, el proceso de inicialización y la estructura de la carga útil», señaló. «Estas superposiciones pueden indicar que el mismo actor de amenazas está detrás de ambas familias de malware».
Fuente y redacción: thehackernews.com
