Семейство вредоносного ПО Xloader, наследник печально известного Formbook, остается одной из наиболее активных и адаптивных угроз для кражи конфиденциальных данных. Эксперты по кибербезопасности отмечают, что авторы программы-вымогателя непрерывно совершенствуют её код, добавляя новые методы обфускации и усложняя сетевые протоколы, что позволяет зловреду долгое время оставаться незамеченным. Последняя версия 8.7 демонстрирует эволюцию подхода к сокрытию, делая автоматический анализ и обнаружение ещё более трудоемкими задачами для исследователей и систем защиты. Эта ситуация актуальна как для крупного бизнеса, так и для обычных пользователей, чьи учетные данные и пароли являются целью атак.
Описание
Xloader, изначально появившийся в 2016 году как Formbook, был переименован в 2020-м и с тех пор постоянно развивается. Его основная функция - кража учетных данных из веб-браузеров, почтовых клиентов и FTP-приложений. Однако угроза не ограничивается сбором информации: программа способна выполнять произвольные команды и загружать дополнительную вредоносную нагрузку на зараженную систему, что превращает её в удобный инструмент для многоступенчатых атак. Начиная с версии 8.1, разработчики внесли значительные изменения в механизмы обфускации кода, направленные на противодействие автоматизированным средствам анализа.
Ключевым нововведением стала модификация процесса расшифровки функций во время выполнения. Ранее Xloader использовал предсказуемо сконструированные "яйца" - маркеры начала и конца зашифрованных блоков кода. Теперь параметры для этих маркеров строятся на стеке в произвольном порядке, иногда побайтно. Эти, казалось бы, незначительные изменения серьезно затрудняют работу автоматических инструментов, полагающихся на поиск шаблонов. Для корректного анализа исследователям приходится вручную реконструировать раскладку памяти, используя, например, фреймворк Miasm для статического анализа обфусцированного кода. Кроме того, была усилена обфускация константных значений. Теперь даже байты пролога функций (стандартная последовательность инструкций при начале выполнения) расшифровываются с помощью побитовой операции XOR, а рутина кастомного дешифрования сама стала объектом маскировки, работая с зашифрованными значениями из передаваемой структуры.
Не менее сложной задачей для защитников является отслеживание сетевой активности Xloader. Угроза использует многослойное шифрование для защиты коммуникаций с командным сервером. При этом программа реализует хитрую тактику маскировки под легитимный трафик и использует ложные C2-серверы. В её код вшито 65 IP-адресов, которые расшифровываются и используются по одному в ходе работы. Xloader случайным образом выбирает 16 адресов и начинает отправлять на них HTTP-запросы, повторяя процесс, пока не будут задействованы все. Это делает практически невозможным для песочниц и систем обнаружения вторжений (IDS) отличить фиктивные серверы от реальных, управляемых злоумышленниками. Установить истинный C2 можно лишь путем сетевой эмуляции и проверки ответа от каждого адреса.
Сетевой протокол зловреда также демонстрирует высокую сложность. Xloader может отправлять HTTP-запросы двумя способами: используя низкоуровневые RAW-сокеты с поддельными заголовками User-Agent, имитирующими браузеры, или высокоуровневые функции WinINet API. Для шифрования исходящих данных используется алгоритм RC4 с несколькими различными ключами, включая ключ, производный от хеша SHA-1 URL C2-сервера, и ключ, полученный из специального "зерна" (seed). Данные проходят через цепочку шифрований, затем кодируются в Base64, причем для POST-запросов (используемых для выгрузки украденных данных) символы кодировки дополнительно заменяются. Исследовательская группа ThreatLabz в своём отчёте детально описывает, что финальный URI GET-запроса включает два случайно сгенерированных параметра, один из которых содержит полезную нагрузку, а позиция этого параметра также выбирается случайно.
После получения ответа от сервера Xloader может выполнять одну из девяти сетевых команд. Их функционал варьируется от обновления или удаления самого вредоноса до загрузки и исполнения дополнительных скриптов PowerShell, исполняемых файлов или DLL, перезагрузки системы и, конечно, активации механизма кражи учетных данных. Такая гибкость превращает Xloader из простого сборщика паролей в полноценный бэкдор, открывающий злоумышленникам широкие возможности для дальнейшего проникновения в инфраструктуру жертвы.
Устойчивость Xloader, обеспечиваемая многослойным шифрованием, ложными серверами и усложненной обфускацией, позволяет ему долгое время избегать обнаружения. Это делает его серьезной и долгосрочной угрозой. Защита от подобных сложных угроз требует комплексного подхода, включающего не только сигнатурные методы, но и поведенческий анализ, мониторинг аномалий в сетевом трафике и постоянное обновление знаний о тактиках, техниках и процедурах (TTP) злоумышленников, таких как те, что описаны в матрице MITRE ATT&CK. Понимание внутренней механики таких угроз, как Xloader, является критически важным шагом для построения эффективной обороны в современном ландшафте киберугроз.
Индикаторы компрометации
SHA256
- 316fee57d6004b1838576bb178215c99b56a0bd37a012e8650cd2898041f6785
- 59db173fbff74cdab24995a0d3669dabf6b09f7332a0128d4faa68ae2526d39a
- 6b15d702539c47fd54a63bda4d309e06d3c0b92d150f61c0b8b65eae787680be
