Хакеры продолжают совершенствовать методы сокрытия вредоносного ПО, используя легитимные программы для обхода механизмов защиты. Один из таких методов — DLL Sideloading, позволяющий загружать вредоносные библиотеки через доверенные приложения.
Недавно эксперты AhnLab Security Intelligence Center (ASEC) выявили новую кампанию по распространению инфостилера XLoader, в которой пользователи используют утилиту jarsigner, входящую в состав Eclipse IDE.
Атака начинается с распространения заражённого ZIP-архива, содержащего три файла: переименованный «jarsigner.exe» (в виде «Documents2012.exe»), поддельную библиотеку «jli.dll», которая загружает вредоносную «concrt140e.dll», а также сам загрузчик XLoader. Запуск «Documents2012.exe» активирует подменённую «jli.dll», что ведёт к запуску XLoader.
После успешного выполнения вредоносный код внедряется в легитимный процесс «aspnet_wp.exe», скрывая присутствие XLoader в системе. Основная задача вредоносного ПО — кража конфиденциальной информации, включая данные браузеров и учётные записи пользователей. Кроме того, XLoader может загружать дополнительное вредоносное ПО.
XLoader является продолжением известного вредоноса Formbook и функционирует по модели Malware-as-a-Service (MaaS). Впервые замеченный в 2020 году, он постоянно эволюционировал, а в 2023 году была обнаружена версия для macOS, маскирующаяся под Microsoft Office. Последние версии загрузчика оснащены усовершенствованными методами маскировки, включая шифрование кода и обход средств обнаружения.
Примечательно, что XLoader использует ложные списки доменов для сокрытия сетевого взаимодействия с командными серверами, смешивая реальный трафик с обращениями к легитимным сайтам. Такой метод ранее применялся в других угрозах, таких как Pushdo и SmokeLoader.
Помимо XLoader, эксперты зафиксировали новые загрузчики вредоносного ПО — NodeLoader и RiseLoader, распространяющие различные угрозы, включая Vidar, Lumma, Phemedrone, XMRig и Socks5Systemz. Анализ RiseLoader показал, что его код схож с другим вредоносным ПО — RisePro, что указывает на связь между группировками.
Продолжающееся развитие XLoader и других инструментов киберпреступников указывает на рост сложности атак и активное внедрение техник маскировки. Пользователям и организациям стоит уделять особое внимание защите своих систем: регулярно обновлять антивирусные решения и избегать открытия файлов из подозрительных источников.