Se ha detectado una nueva versión del malware XLoader, capaz de ocultar la infraestructura C2. El malware es un sucesor de Formbook y se descubrió por primera vez en 2021 en la Dark Web. Inactividad de Formbook: Durante el análisis, un grupo de investigadores de CheckPoint descubrió que la última iteración del ladrón de Formbook, […]
Se ha detectado una nueva versión del malware XLoader, capaz de ocultar la infraestructura C2. El malware es un sucesor de Formbook y se descubrió por primera vez en 2021 en la Dark Web.
Inactividad de Formbook: Durante el análisis, un grupo de investigadores de CheckPoint descubrió que la última iteración del ladrón de Formbook, que es la 4.1, se remonta a 2020. Desde entonces, los autores del malware no lo han actualizado.
Acerca de XLoader
En julio del año pasado apareció XLoader en reemplazo de Formbook. El malware estaba disponible para la venta en diferentes foros clandestinos.
XLoader abrió oportunidades nuevas para los actores de amenazas, uno de los aspectos más interesantes es que incluía la capacidad de atacar sistemas MacOS.
El 5 de mayo, los investigadores detectaron una nueva versión de este malware, denominada v2.6.
Esta última versión se centra en el uso de la teoría de la probabilidad para ocultar sus servidores de mando y control. El objetivo de esto es dificultar el trabajo de los expertos en seguridad para interrumpir el funcionamiento del malware.
XLoader v2.6 sobrescribe ocho de los 64 dominios elegidos al azar en su lista de configuración con nuevos valores.
Esta sobrescritura de dominios reales con dominios falsos se realiza cada vez que se realiza un intento de ataque, lo que ayuda a los atacantes a ocultar los servidores C2 reales de los analistas de seguridad mientras continúan con su proceso de infección.
El resurgimiento de XLoader con nuevas capacidades anti-evasión representa que los autores de malware siempre están a la vanguardia de la invención de nuevos trucos para prolongar la vida de sus creaciones el mayor tiempo posible.
Artículos relacionados
Reciente ciberataque en Costa Rica apunta al sistema hospitalario
2 de junio de 2022Un ciberataque ocurrido la madrugada de este martes apuntó a hospitales y clínicas de Costa Rica, aseguró la Caja Costarricense de Seguro Social (CCSS), el cual se suma a una serie de ciberataques dirigidos al gobierno de dicho país.
Deadbolt ransomware adopta esquema de extorsión de varios niveles
8 de junio de 2022En mayo, QNAP advirtió a sus clientes sobre los continuos ataques del grupo de ransomware DeadBolt contra los dispositivos NAS. Los ataques comenzaron en enero y el actor de amenazas pide un rescate de 0,03 Bitcoin por la clave de descifrado.
