Se ha observado una campaña de malware que distribuye el malware Xloader utilizando la técnica de carga lateral de DLL haciendo uso de una aplicación legítima asociada con la base Eclipse.
«La aplicación legítima utilizada en el ataque, Jarsigner, es un archivo creado durante la instalación del paquete IDE distribuido por la Fundación Eclipse», dijo el Centro de Inteligencia de Seguridad de AhnLab (ASEC). «Es una herramienta para firmar archivos JAR (Java Archive)».
La firma de ciberseguridad de Corea del Sur dijo que el malware se propaga en forma de un archivo postal comprimido que incluye el ejecutable legítimo, así como los DLL que se acompañan para lanzar el malware,
Documentos2012.exe, una versión renombrada del legítimo jarsigner.exe binary jli.dll, un archivo DLL modificado por el actor de amena
La cadena de ataque se cruza a la fase maliciosa cuando se ejecuta «Documentos2012.exe», lo que desencadena la ejecución de la biblioteca «jli.dll» tamplízis para cargar el malware xloader.
«El archivo distribuido Concrt140e.dll es una carga útil cifrada que se descifra durante el proceso de ataque e inyectado en el archivo legítimo ASPNET_WP.EXE para su ejecución», dijo ASEC.
«El malware inyectado, Xloader, roba información confidencial, como la PC del usuario y la información del navegador, y realiza diversas actividades como la descarga de malware adicional».
Un sucesor del Formbook Malware, Xloader se detectó por primera vez en la naturaleza en 2020. Está disponible para la venta a otros actores criminales bajo un modelo de malware como servicio (MAAS). En agosto de 2023, se descubrió una versión de MacOS del robador de información y Keylogger que se hace pasar por Microsoft Office.
«Las versiones de XLoader 6 y 7 incluyen capas adicionales de ofuscación y cifrado destinados a proteger el código crítico y la información para derrotar a la detección basada en la firma y complicar los esfuerzos de ingeniería inversa», dijo Zscaler Amenazlabz en un informe de dos partes publicado este mes.
«Xloader ha introducido técnicas que se observaron previamente en Smokeloader, incluidas las partes de código de Code en tiempo de ejecución y la evasión de gancho NTDLL».
Un análisis posterior del malware ha revelado su uso de listas de señuelo codificadas para combinar comunicaciones de red de comando y control real (C2) con tráfico a sitios web legítimos. Tanto los señuelos como los servidores C2 reales están encriptados usando diferentes claves y algoritmos.
Al igual que en el caso de las familias de malware como Pushdo, la intención detrás del uso de señuelos es generar tráfico de red para dominios legítimos para disfrazar el tráfico real C2.
La carga lateral de DLL también ha sido abusada por el actor de amenaza SmartAPESG (también conocido como ZPHP o Haneymaney) para entregar NetSupport Rat a través de sitios web legítimos comprometidos con inyecciones web de JavaScript, con el Troya de acceso remoto que actúa como un conducto para soltar el Stealer STALC.
El desarrollo se produce cuando ZScaler detalló a otros dos cargadores de malware llamados Nodeloader y Riseloader que se ha utilizado para distribuir una amplia gama de robadores de información, mineros de criptomonedas y malware de botnet como Vidar, Lumma, Phemedrone, XMrig y Socks5Systemz.
«Riseloader y Risepro comparten varias similitudes en sus protocolos de comunicación de red, incluida la estructura de mensajes, el proceso de inicialización y la estructura de carga útil», señaló. «Estas superposiciones pueden indicar que el mismo actor de amenaza está detrás de ambas familias de malware».