{"id":19586,"date":"2022-06-01T16:53:49","date_gmt":"2022-06-01T19:53:49","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=19586"},"modified":"2022-06-01T16:53:50","modified_gmt":"2022-06-01T19:53:50","slug":"malware-xloader-oculta-servidores-cc","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2022\/06\/basico\/malware-xloader-oculta-servidores-cc\/","title":{"rendered":"Malware XLoader oculta servidores C&C"},"content":{"rendered":"\n

Nova vers\u00e3o do botnet XLoader usando a teoria da probabilidade para ocultar seus servidores C&C<\/span><\/h1>\n

\u00a0<\/p>\n

Uma vers\u00e3o aprimorada do malware XLoader foi detectada adotando uma abordagem baseada em probabilidade para camuflar sua infraestrutura de comando e controle (C&C), de acordo com as pesquisas mais recentes.<\/span><\/p>\n

\u00a0<\/p>\n

\u201cAgora \u00e9 significativamente mais dif\u00edcil separar o trigo do joio e descobrir os verdadeiros servidores C&C entre milhares de dom\u00ednios leg\u00edtimos usados \u200b\u200bpelo Xloader como uma cortina de fuma\u00e7a\u201d, informou a empresa israelense de seguran\u00e7a cibern\u00e9tica Check <\/span>Point<\/span> .<\/span><\/p>\n

\u00a0<\/p>\n

Visto pela primeira vez em outubro de 2020, o XLoader \u00e9 um sucessor do Formbook e um <\/span>ladr\u00e3o de informa\u00e7\u00f5es de plataforma cruzada<\/span> capaz de saquear credenciais de navegadores da Web, capturar pressionamentos de tecla e capturas de tela e executar comandos e cargas arbitr\u00e1rias.<\/span><\/p>\n

\u00a0<\/p>\n

Mais recentemente, o <\/span>conflito geopol\u00edtico em curso<\/span> entre a R\u00fassia e a Ucr\u00e2nia provou ser uma forragem lucrativa para a <\/span>distribui\u00e7\u00e3o do XLoader<\/span> por meio de e- <\/span>mails de phishing<\/span> direcionados a altos funcion\u00e1rios do governo na Ucr\u00e2nia.<\/span><\/p>\n

\u00a0<\/p>\n

As \u00faltimas descobertas da Check Point baseiam-se em um relat\u00f3rio anterior da <\/span>Zscaler<\/span> em janeiro de 2022, que revelou o funcionamento interno do protocolo de comunica\u00e7\u00e3o e criptografia de rede C&C (ou C2) do malware, observando seu uso de servidores chamariz para ocultar o servidor leg\u00edtimo e evitar malware sistemas de an\u00e1lise.<\/span><\/p>\n

\u00a0<\/p>\n

\"Botnet<\/a><\/div>\n
\u00a0<\/div>\n
\n

\u201cAs comunica\u00e7\u00f5es C2 ocorrem com os dom\u00ednios chamariz e o servidor C2 real, incluindo o envio de dados roubados da v\u00edtima\u201d, explicaram os pesquisadores. “Assim, existe a possibilidade de que um C2 de backup possa ser ocultado nos dom\u00ednios C2 de chamariz e ser usado como um canal de comunica\u00e7\u00e3o de fallback no caso de o dom\u00ednio C2 prim\u00e1rio ser desativado.”<\/span><\/p>\n

\u00a0<\/p>\n

A furtividade vem do fato de o nome de dom\u00ednio do servidor C&C real estar oculto ao lado de uma configura\u00e7\u00e3o contendo 64 dom\u00ednios chamariz, dos quais 16 dom\u00ednios s\u00e3o escolhidos aleatoriamente, seguidos pela substitui\u00e7\u00e3o de dois desses 16 pelo endere\u00e7o C&C falso e o endere\u00e7o aut\u00eantico.<\/span><\/p>\n<\/div>\n

\u00a0<\/p>\n

O que mudou nas vers\u00f5es mais recentes do XLoader \u00e9 que ap\u00f3s a sele\u00e7\u00e3o de 16 dom\u00ednios chamariz da configura\u00e7\u00e3o, os primeiros oito dom\u00ednios s\u00e3o substitu\u00eddos por novos valores aleat\u00f3rios antes de cada ciclo de comunica\u00e7\u00e3o, enquanto se executam etapas para pular o dom\u00ednio real.<\/span><\/p>\n

\u00a0<\/p>\n

Al\u00e9m disso, o XLoader 2.5 substitui tr\u00eas dos dom\u00ednios na lista criada por dois endere\u00e7os de servidor chamariz e o dom\u00ednio real do servidor C&C. O objetivo final \u00e9 evitar a detec\u00e7\u00e3o do servidor C&C real, com base nos atrasos entre os acessos aos dom\u00ednios.<\/span><\/p>\n

\u00a0<\/p>\n

O fato de que os autores do malware recorreram aos princ\u00edpios da <\/span>teoria da probabilidade<\/span> para acessar o servidor leg\u00edtimo mais uma vez demonstra como os agentes de amea\u00e7as constantemente ajustam suas t\u00e1ticas para promover seus objetivos nefastos.<\/span><\/p>\n

\u00a0<\/p>\n

\u201cEssas modifica\u00e7\u00f5es atingem dois objetivos ao mesmo tempo, cada n\u00f3 na botnet mant\u00e9m uma taxa de knockback constante enquanto engana os scripts automatizados e impede a descoberta dos servidores C&C reais\u201d, disseram os pesquisadores da Check Point.<\/span><\/p>\n

\u00a0<\/p>\n

Este artigo \u00e9 uma tradu\u00e7\u00e3o de: https:\/\/thehackernews.com\/2022\/06\/new-xloader-botnet-version-using.html<\/a>\u00a0 (Autor: Ravie Lakshmanan<\/span>)<\/p>\n

\n
\u00a0<\/div>\n<\/div>\n\n\n","protected":false},"excerpt":{"rendered":"

Nova vers\u00e3o do botnet XLoader usando a teoria da probabilidade para ocultar seus servidores C&C \u00a0 Uma vers\u00e3o aprimorada do malware XLoader foi detectada adotando uma abordagem baseada em probabilidade para camuflar sua infraestrutura de comando e controle (C&C), de acordo com as pesquisas mais recentes. \u00a0 \u201cAgora \u00e9 significativamente mais dif\u00edcil separar o trigo […]<\/p>\n","protected":false},"author":2,"featured_media":19587,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,105],"tags":[],"class_list":["post-19586","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19586","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=19586"}],"version-history":[{"count":1,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19586\/revisions"}],"predecessor-version":[{"id":19588,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19586\/revisions\/19588"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/19587"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=19586"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=19586"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=19586"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}