Хакеры постоянно улучшают способы скрытия вредоносных программ, используя обычные программы для обхода защиты. Один из таких методов — DLL Sideloading, который позволяет загружать вредоносные библиотеки через доверенные приложения.
Недавно специалисты из AhnLab Security Intelligence Center (ASEC) обнаружили новую атаку с использованием XLoader, где злоумышленники используют утилиту jarsigner из Eclipse IDE.
Атака начинается с распространения зараженного ZIP-архива с тремя файлами: переименованный «jarsigner.exe» (как «Documents2012.exe»), поддельная библиотека «jli.dll», которая загружает вредоносную «concrt140e.dll» и сам загрузчик XLoader. Запуск «Documents2012.exe» запускает XLoader.
После успешной атаки вредоносный код скрывается в процессе «aspnet_wp.exe», чтобы скрыть присутствие XLoader. Основная цель вредоносной программы — кража личной информации, включая данные браузера и учетные записи. Кроме того, XLoader может загружать другие вредоносные программы.
XLoader является продолжением Formbook и работает по принципу Malware-as-a-Service (MaaS). Он был обнаружен в 2020 году и постоянно развивается, в том числе была найдена версия для macOS в 2023 году. Последние версии XLoader имеют улучшенные методы маскировки, включая шифрование кода.
XLoader использует ложные доменные имена для скрытия сетевой активности, смешивая ее с обращениями к настоящим сайтам. Этот метод ранее использовался в других угрозах, таких как Pushdo и SmokeLoader.
Помимо XLoader, были обнаружены новые загрузчики вредоносных программ — NodeLoader и RiseLoader, распространяющие различные угрозы. Анализ RiseLoader показал сходство его кода с другим вредоносным ПО — RisePro, что указывает на связь между группировками.
Развитие XLoader и других инструментов хакеров говорит о усложнении атак и активном использовании методов маскировки. Пользователям и организациям следует уделить внимание защите своих систем: регулярно обновлять антивирусные программы и избегать открытия файлов из подозрительных источников.