概要
XLoader の開発者は、最新バージョンでウイルスのコードを大幅に強化し、コマンド・アンド・コントロール(C2)トラフィックを複数層の暗号化と偽装サーバーを使って隠す機能を追加しました。これにより、防御側が解析や検出を行うのが難しくなりました。
XLoader の背景
Formbook は2016年に情報窃取型トロイの木馬として登場し、地下フォーラムで販売され、ウェブブラウザやメールクライアントから資格情報を収集するために広く使用されていました。2020年初めに、オペレーターは Formbook を XLoader と改名し、同じコア機能を維持しながら他の脅威アクター向けのマルウェア・アズ・ア・サービスとして提供を続けました。
最新の難読化変更
XLoader のバージョン 8.1 以降、既存のコード隠蔽技術に新しい難読化層が追加されました。このウイルスは依然として保存されたパスワードやクッキーを盗み、キーストロークをログし、第二段階ペイロードのダウンローダーとしても機能します。
暗号化と難読化技術
XLoader は独自の RC4 ベースのルーチンを使用して内部データやネットワークペイロードを暗号化しています。以前のバージョンではこの機能が単純に認識されやすかったですが、8.1以降からはルーチン自体が難読化層で囲まれています。
マルチレイヤー C2 暗号化
XLoader の主要な目標は資格情報の窃取とリモートコマンド実行ですが、ネットワーク層では複数の暗号キーと偽装インフラストラクチャを使用して本物のC2サーバーを隠しています。
対策
組織はブラウザやメールの強化、不審なHTTPパターンのアウトバウンドトラフィック監視、およびXLoaderスタイルのRC4とBase64層を含むプロキシログでの積極的な検索を優先すべきです。