XLoaderの新バージョン

XLoaderはインフォスティーラーです。
登場したのは最近のことではなく、以前から活動が確認されています。
FormBookという名前のキーロガーの一部の機能として実装されたのが始まりとみられています。
FormBookはもともとWindowsがターゲットのものでしたが、XLoaderはいまではWindowsに加えてmacOSもターゲットとしています。
XLoaderはこういう感じです。

• 入手しやすい
  MaaSなので誰でも購入して使えます。

   

• 情報収集に良い
  キーロガー機能、クリップボード機能などを多く搭載していますので、情報を集めやすいです。
  特に収集されるのはアカウント情報です。
  集めたアカウント情報は販売しようとされるかもしれませんし、犯罪者自身が使用して不正なオンライントランザクションを実施するかもしれません。

   

• 発展させやすい
  追加の別のマルウェアを送り込んで動かすこともできます。
  攻撃の入口にちょうど良いのかもしれません。

こんな感じで、XLoaderの機能そのものがすでに厄介なものとなっています。
そんなXLoaderですが、バージョンアップを重ねる中でXLoaderとしての安全性を高める実装も拡張されてきています。

インフォスティーラーは情報を盗み出します。
単に破壊するのではなく盗み出すことが目的になります。
ということは単体では完結できませんので、活動のどこかの段階で必ず外部と通信を行う必要がでてきます。
通信先はC2サーバです。Command and Controlですね。

MaaSとしてもそうですし、インフォスティーラーとしてもC2はとても重要な要素だと言えます。
XLoaderの最近の拡張では、このC2の隠蔽に関する機能の拡張が続いています。
今確認されている新しいXLoaderのバージョンは2.6です。
XLoader2.6では実に10万個を超えるドメインがC2かもしれないドメイン名として処理されます。
大量のフェイクC2です。
実際のC2として使用されているものはこのごく一部で120台くらいのみなのではないかと考えられています。
確率でいうと0.12%を割っているということになります。

マルウェアの実際の活動の解析はもともとが簡単な活動ではありませんが、C2かもしれない通信の宛先を調べるという方法は量的にかなり難しくなってきていると言えそうです。
C2かもしれないアクセス先のドメイン名の名前にのみ注目するというアプローチだけに頼ることは得策ではなさそうです。
調査を実施する側にも戦略の方向転換が必要ということかもしれません。

参考記事（外部リンク）：XLoader Botnet: Find Me If You Can
research.checkpoint.com/2022/xloader-botnet-find-me-if-you-can/