Mercado fechado
  • BOVESPA

    98.541,95
    -1.079,62 (-1,08%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    47.524,45
    -537,16 (-1,12%)
     
  • PETROLEO CRU

    106,28
    +0,52 (+0,49%)
     
  • OURO

    1.806,30
    -1,00 (-0,06%)
     
  • BTC-USD

    20.386,87
    +316,95 (+1,58%)
     
  • CMC Crypto 200

    436,68
    +5,21 (+1,21%)
     
  • S&P500

    3.785,38
    -33,45 (-0,88%)
     
  • DOW JONES

    30.775,43
    -253,88 (-0,82%)
     
  • FTSE

    7.169,28
    -143,04 (-1,96%)
     
  • HANG SENG

    21.859,79
    -137,10 (-0,62%)
     
  • NIKKEI

    26.235,54
    -157,50 (-0,60%)
     
  • NASDAQ

    11.498,25
    -31,25 (-0,27%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    5,4973
    -0,0083 (-0,15%)
     

Nova versão do malware XLoader usa táticas mais complexas para se esconder

Pesquisadores de cibersegurança identificaram uma nova versão da botnet XLoader, que está utilizando falsos endereços para esconder seus servidores de comando e controle (C2), dificultando assim que a ameaça seja freada — mas ainda com a mesma infraestrutura encontrada em outras detecções do malware.

O XLoader é um malware ladrão de informações baseado no Formbook, que tem como principais alvos os sistemas operacionais Windows e macOS. Ele foi espalhado em massa pela primeira vez em janeiro de 2021, e desde então sua evolução vem sendo acompanhada por pesquisadores da Check Point Software.

<em>Esquema da Check Point ilustrando como a reescrita do nome dos domínios ocorre na ameaça. (Imagem: Reprodução/Check Point Software)</em>
Esquema da Check Point ilustrando como a reescrita do nome dos domínios ocorre na ameaça. (Imagem: Reprodução/Check Point Software)

Foi nesse acompanhamento que a Check Point detectou nas versões 2.5 e 2.6 da ameaça, as mais recentes, um mecanismo que reescreve o nome dos domínios pela qual o vírus se conecta com seus controladores a cada tentativa de contato, para evitar detecções. No total, são 64 opções de endereços, e a cada tentativa de conexão oito delas são reescritas.

A dificuldade de detecção da nova versão do XLoader

O relatório da Check Point explica que, por conta das variadas possibilidades do endereço do domínio, o processo de detecção dos servidores C2 se torna complicado para analistas de segurança, já que a forma mais eficaz seria emular o processo e tentar cada um dos resultados - algo pouco eficiente.

Ao mesmo tempo, para os controladores, é possível que enquanto as tentativas ocorram, o vírus já tenha se conectado de forma bem sucedida com o servidor C2 e exfiltrado as informações, e logo depois já tenha voltado a embaralhar o endereço — não trazendo nenhum impacto negativo para sua operação.

A Check Point finaliza o relatório afirmando que a ameaça está principalmente presente nas versões do XLoader feitas para sistemas 32-bit, com a versão 64-bit da distribuição 2.6 se conectando toda vez com o endereço real. A firma de segurança afirma que isso pode ser parte de uma engenharia social para esconder os mecanismos do malware.

Fonte: Canaltech

Trending no Canaltech:

Nosso objetivo é criar um lugar seguro e atraente onde usuários possam se conectar uns com os outros baseados em interesses e paixões. Para melhorar a experiência de participantes da comunidade, estamos suspendendo temporariamente os comentários de artigos