Kampanye malware yang mendistribusikan malware Xloader telah diamati menggunakan teknik pemuatan sisi DLL dengan memanfaatkan aplikasi yang sah yang terkait dengan Eclipse Foundation.
“Aplikasi sah yang digunakan dalam serangan itu, Jarsigner, adalah file yang dibuat selama pemasangan paket IDE yang didistribusikan oleh Eclipse Foundation,” kata Ahnlab Security Intelligence Center (ASEC). “Ini adalah alat untuk menandatangani file JAR (Java Archive).”
Perusahaan cybersecurity Korea Selatan mengatakan malware ini diperbanyak dalam bentuk arsip zip terkompresi yang mencakup executable yang sah serta DLL yang dimuat untuk meluncurkan malware –
Dokumen2012.exe, versi berganti nama dari Jarsigner.exe Binary Jli.dll yang sah, file DLL yang dimodifikasi oleh aktor ancaman untuk mendekripsi dan menyuntikkan conCRT140E.DLL CONCRT140E.DLL, muatan Xloader The Xloader
Rantai serangan menyeberang ke fase jahat ketika “Documents2012.exe” dijalankan, memicu eksekusi perpustakaan “JLI.DLL” yang dirusak untuk memuat malware Xloader.
“File CONCRT140E.DLL yang didistribusikan adalah muatan terenkripsi yang didekripsi selama proses serangan dan disuntikkan ke dalam file yang sah aspnet_wp.exe untuk dieksekusi,” kata ASEC.
“Malware yang disuntikkan, Xloader, mencuri informasi sensitif seperti PC pengguna dan informasi browser, dan melakukan berbagai kegiatan seperti mengunduh malware tambahan.”
Seorang penerus malware formbook, Xloader pertama kali terdeteksi di alam liar pada tahun 2020. Ini tersedia untuk dijual ke aktor kriminal lainnya di bawah model malware-as-a-service (MAAS). Pada Agustus 2023, versi MacOS dari pencuri informasi dan Keylogger ditemukan menyamar sebagai Microsoft Office.
“Xloader Version 6 dan 7 termasuk kebingungan tambahan dan lapisan enkripsi yang dimaksudkan untuk melindungi kode kritis dan informasi untuk mengalahkan deteksi berbasis tanda tangan dan mempersulit upaya rekayasa terbalik,” kata Zscaler Ancromlabz dalam laporan dua bagian yang diterbitkan bulan ini.
“Xloader telah memperkenalkan teknik yang sebelumnya diamati di SmokeLoader, termasuk mengenkripsi bagian kode saat runtime dan penghindaran ntdll hook.”
Analisis lebih lanjut dari malware telah mengungkapkan penggunaan daftar umpan yang dikodekan untuk memadukan komunikasi jaringan Command-and-Control (C2) nyata dengan lalu lintas ke situs web yang sah. Baik umpan dan server C2 nyata dienkripsi menggunakan tombol dan algoritma yang berbeda.
Seperti dalam kasus keluarga malware seperti PushDo, niat di balik menggunakan umpan adalah untuk menghasilkan lalu lintas jaringan ke domain yang sah untuk menyamarkan lalu lintas C2 yang nyata.
Pemuatan samping DLL juga telah disalahgunakan oleh aktor ancaman SmartapesG (alias ZPHP atau Haneymaney) untuk memberikan tikus Netsupport melalui situs web yang sah yang dikompromikan dengan suntikan web JavaScript, dengan akses jarak jauh Trojan yang bertindak sebagai saluran untuk menjatuhkan pencuri stealc.
Perkembangan ini datang ketika Zscaler merinci dua pemuat malware lainnya bernama Nodeloader dan Riseloader yang telah digunakan untuk mendistribusikan berbagai pencuri informasi, penambang cryptocurrency, dan malware botnet seperti Vidar, Lumma, Phemedrone, XMRIG, dan Socks5systemz.
“Riseloader dan Risepro berbagi beberapa kesamaan dalam protokol komunikasi jaringan mereka, termasuk struktur pesan, proses inisialisasi, dan struktur muatan,” katanya. “Tumpang tindih ini mungkin menunjukkan bahwa aktor ancaman yang sama ada di belakang kedua keluarga malware.”
