Blog

TOP Malware Series: XLoader

¿Qué es XLoader?

XLoader (conocido como el sucesor de Formbook) es un troyano de acceso remoto (RAT) que opera mediante la modalidad de Malware-as-a-Service (MaaS) y que está siendo utilizado activamente en la región y específicamente Chile. Los operadores han desarrollado una Botnet centralizada para gestionar a sus víctimas, donde el objetivo principal es el robo de información y credenciales. A diferencia de su predecesor, que sólo funciona en Windows, XLoader se dirige tanto a Windows como a macOS.

XLoader ha implementado muchas mejoras, una de ellas, es la utilización de alrededor de 65 dominios en la comunicación con el C2 para intentar engañar a los analistas de seguridad y plataformas automatizadas (sandbox). Solo 1 de los dominios que se pueden encontrar en su configuración es el C2 real.

El equipo de Cyber Threat Intelligence de CronUp ha detectado una vulnerabilidad en la configuración de los servidores de comando y control que ha permitido el seguimiento y monitoreo en tiempo real de esta Ciberamenaza.

La imagen a continuación es una muestra del panel de control de la Botnet.

XLoader se encuentra disponible a través de diferentes revendedores en foros underground por un valor de $49 a $129 dólares, los precios pueden variar dependiendo del sistema operativo y el tiempo de uso. Además, se requiere un mínimo de conocimientos técnicos para operarlo, lo que probablemente, ha contribuido a su reputación como una de las familias de malware más utilizadas (considerando a Formbook). El objetivo principal de este malware, es el robo de información privada, la obtención de credenciales de acceso, el ciberespionaje y la carga de otras familias de malware en la red víctima.

Características de XLoader

  • No depende de librerías ni componentes de terceros (C/Asm).
  • Roba credenciales de acceso de clientes de correo electrónico.
  • Recolecta información del sistema, usuario y red interna.
  • Tamaño reducido del stub (~150KB sin comprimir, ~80KB comprimido).
  • Cadenas cifradas.
  • Bypass Ring3 hooks.
  • Panel de C&C seguro escrito en PHP.
  • Bypass de Firewalls.
  • Bypass de Sandbox.
  • Puede descargar e instalar otras amenazas en el equipo que infecta.
  • Soporta tanto x86 como x64 (Windows, OSX).
  • Soporte completo de unicode (Todos los países).
  • Payload en memoria.
  • Inicio oculto.
  • Persistencia en todo el sistema.
  • Inyección al proceso del sistema en la lista blanca (sólo Windows).
  • Anti-Emulación.
  • Anti-Debug.
  • Gestor de archivos incorporado en el panel.
  • Descarga y ejecución.
  • Bajo uso de recursos.
  • Se comunica con diferentes dominios y direcciones IPs para evitar la identificación del C2.

Distribución de XLoader

XLoader se distribuye a través de campañas de spam que llaman a la acción y que contienen adjuntos o enlaces para la descarga del payload final.

El CSIRT de Gobierno también ha identificado algunos casos dirigidos a usuarios Chilenos.

Flujo de Infección

Según los análisis de XLoader, el malware generalmente se distribuye a través de campañas de correo electrónico que utilizan una amplia gama de mecanismos de infección y pueden contener varios archivos adjuntos. Entre los archivos adjuntos más comúnmente observados se encuentran los archivos PDF, DOC, ZIP, RAR, ISO, ACE y EXE.

Al momento de ejecutarse el payload final, se inician algunos procesos que quedarán en segundo plano, intentando camuflarse en el sistema, además de generar una tarea programada para mantener persistencia en el equipo. Al momento de enviar las primeras comunicaciones al C2 (Comando y Control), realizará múltiples consultas con diferentes dominios para confundir a los analistas.

https://www.joesandbox.com/analysis/472478/0/html

Objetivos Geográficos de XLoader

Según reportes oficiales, XLoader ha estado presente en múltiples países desde su fecha de descubrimiento, entre los que destacan Estados Unidos, México, Francia, Alemania, Rusia, Holanda y últimamente países de Latinoamérica como Argentina, Brasil, Colombia y Chile.

Indicadores de Compromisos (IOC)

El siguiente listado de IP’s poseen múltiples dominios registrados por los operadores y son utilizados actualmente como servidores de comando y control.

  • 63.250.35.57
  • 199.192.24.139
  • 198.187.30.150
  • 162.0.224.22
  • 66.29.135.47
  • 162.0.216.198
  • 192.64.114.163
  • 192.64.115.131
  • 66.29.134.149
  • 63.250.35.46
  • 162.0.219.212
  • 199.192.29.10
  • 162.0.233.6
  • 192.64.116.169
  • 162.0.214.58
  • 66.29.131.244
  • 199.192.22.53
  • 162.0.223.225
  • 162.0.216.35
  • 199.192.17.149
  • 162.0.223.226
  • 162.0.221.164
  • 199.192.24.249
  • 63.250.34.223
  • 162.0.237.9
  • 162.0.230.251
  • 162.0.230.164

Recomendaciones de seguridad

  • Realice un bloqueo preventivo de los Indicadores de Compromiso (Antispam, Firewall, Webfilter, Antivirus, etc).
  • Mantenga el software actualizado (MS Office, Antivirus, Sistema Operativo, etc).
  • Mantenga una postura escéptica y desconfíe de mensajes sospechosos.
  • No abra correos ni descargue adjuntos de remitentes desconocidos o correos no solicitados.
  • No siga links desde mensajes de redes sociales o sitios no oficiales.
  • Realice una evaluación continua de compromisos en la red interna.
  • Manténgase informado de las últimas amenazas y riesgos en Internet.
  • Ante cualquier anormalidad en el equipo reporte de inmediato a la mesa de ayuda.

Artículos relacionados

https://csirt.gob.cl/media/2021/08/2CMV21-00216-01.pdf

https://www.bleepingcomputer.com/news/security/xloader-malware-steals-logins-from-macos-and-windows-systems/

https://www.sentinelone.com/blog/detecting-xloader-a-macos-malware-as-a-service-info-stealer-and-keylogger/

https://research.checkpoint.com/2021/top-prevalent-malware-with-a-thousand-campaigns-migrates-to-macos/

Share on facebook
Share on linkedin
Share on twitter
Share on whatsapp

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alterta Temprana de Riesgos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Hdiv - Protege tus aplicaciones Web y API
La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Accede al Demo Gratuito
Protección de Dominios - Sendmarc
Evita y protege activamente los dominios de tu organización contra los ataques de suplantación de identidad y phishing
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad