Se ha observado una campaña de malware que distribuye el malware Xloader utilizando la técnica de carga colateral de DLL haciendo uso de una aplicación legítima asociada con la cojín Decliver.
“La aplicación legítima utilizada en el ataque, Jarsigner, es un archivo creado durante la instalación del paquete IDE distribuido por la Fundación Decliver”, dijo el Centro de Inteligencia de Seguridad de AhnLab (ASEC). “Es una útil para firmar archivos JAR (Java Archive)”.
La firma de ciberseguridad de Corea del Sur dijo que el malware se propaga en forma de un archivo postal comprimido que incluye el ejecutable razonable, así como los DLL que se acompañan para exhalar el malware,
Documentos2012.exe, una lectura renombrada del razonable jarsigner.exe binary, jli.dll, un archivo dll modificado por el actor de amena
La prisión de ataque se cruza a la grado maliciosa cuando se ejecuta “Documentos2012.exe”, lo que desencadena la ejecución de la biblioteca “jli.dll” tamplízis para cargar el malware xloader.
“El archivo distribuido Concrt140e.dll es una carga útil cifrada que se descifra durante el proceso de ataque e inyectado en el archivo razonable ASPNET_WP.EXE para su ejecución”, dijo ASEC.
“El malware inyectado, Xloader, roba información confidencial, como la PC del legatario y la información del navegador, y realiza diversas actividades como la descarga de malware adicional”.
Un sucesor del Formbook Malware, Xloader se detectó por primera vez en la naturaleza en 2020. Está apto para la cesión a otros actores criminales bajo un maniquí de malware como servicio (MAAS). En agosto de 2023, se descubrió una lectura de MacOS del robador de información y Keylogger que se hace sobrevenir por Microsoft Office.
“Las versiones de XLoader 6 y 7 incluyen capas adicionales de ofuscación y oculto destinados a proteger el código crítico y la información para derrotar a la detección basada en la firma y complicar los esfuerzos de ingeniería inversa”, dijo Zscaler Amenazlabz en un noticia de dos partes publicado este mes.
“Xloader ha introducido técnicas que se observaron previamente en Smokeloader, incluidas las partes de código de Code en tiempo de ejecución y la esparcimiento de garfio NTDLL”.
Un exploración posterior del malware ha revelado su uso de listas de señuelo codificadas para combinar comunicaciones de red de comando y control vivo (C2) con tráfico a sitios web legítimos. Tanto los señuelos como los servidores C2 reales están encriptados usando diferentes claves y algoritmos.
Al igual que en el caso de las familias de malware como Pushdo, la intención detrás del uso de señuelos es ocasionar tráfico de red para dominios legítimos para disfrazar el tráfico vivo C2.
La carga colateral de DLL incluso ha sido abusada por el actor de amenaza SmartAPESG (incluso conocido como ZPHP o Haneymaney) para entregar NetSupport Rat a través de sitios web legítimos comprometidos con inyecciones web de JavaScript, con el Troya de paso remoto que actúa como un conducto para soltar el Stealer STALC.
El mejora se produce cuando ZScaler detalló a otros dos cargadores de malware llamados Nodeloader y Riseloader que se ha utilizado para distribuir una amplia escala de robadores de información, mineros de criptomonedas y malware de botnet como Vidar, Lumma, Phemedrone, XMrig y Socks5Systemz.
“Riseloader y Risepro comparten varias similitudes en sus protocolos de comunicación de red, incluida la estructura de mensajes, el proceso de inicialización y la estructura de carga útil”, señaló. “Estas superposiciones pueden indicar que el mismo actor de amenaza está detrás de ambas familias de malware”.
Respuesta de la Fundación Decliver
“El mal uso de Jarsigner.exe se deriva del comportamiento de carga de DLL de Windows, no una vulnerabilidad en Decliver Temurin. La técnica afecta a innumerables aplicaciones de Windows y no refleja un defecto de seguridad en el software de la Fundación Decliver”, Mikaël Peluquero, principal de seguridad del desaparición Fundación, dijo.
“No hay evidencia de compromiso en el interior de la infraestructura de la Fundación Decliver, los sistemas de construcción de temperina o los proyectos, no que un atacante necesitaría.
