Zscaler waarschuwt voor Xloader C2 Malware-as-a-Service

Het Zscaler ThreatLabz-team waarschuwt voor de Xloader-malware. Xloader is al jaren actief, maar is nog ‘succesvoller’ sinds het als Malware-as-a-Service (MaaS) wordt aangeboden.

Xloader-malware
Xloader is malware die informatie steelt en is de opvolger van Formbook, dat sinds begin 2016 op hackforums werd verkocht. In oktober 2020 werd Formbook omgedoopt tot Xloader en werden er enkele belangrijke updates geïntroduceerd, vooral met betrekking tot de commando en controle (C2) netwerkversleuteling.

Bij de verkoop van Formbook kregen afnemers een webgebaseerd command- and control-panel, zodat ze hun eigen botnets konden beheren. In 2017 werd de panelcode van Formbook echter gelekt. De actoren achter Xloader stapten vervolgens over op een ander bedrijfsmodel. In plaats van een volledig functionele crimeware-kit te distribueren, wordt de Xloader C2-infrastructuur nu verhuurd aan klanten. Dit MaaS-model is winstgevender dan ooit tevoren en maakt piraterij lastiger.

De mogelijkheden van Xloader zijn onder andere:

  • Stelen van inloggegevens van webbrowsers en andere applicaties
  • Toetsaanslagen registreren
  • Screenshots maken
  • Stelen van opgeslagen wachtwoorden
  • Downloaden en uitvoeren van extra binaries
  • Uitvoeren van commando’s

“De populariteit en het succes van recente cyberaanvallen hebben geleid tot de opkomst van as-a-Service-diensten binnen het cybercriminele circuit. Net als bij andere soorten legale software-as-a-service-aanbiedingen, worden malware of ransomware als een dienst aangeboden aan kwaadwillenden. Hierdoor wordt een platform geboden dat iedereen, ook mensen zonder IT-skills, de mogelijkheid geeft om een aanval uit te voeren. Als een aanval succesvol is, wordt de winst verdeeld tussen de serviceprovider, de codeur en de afnemer. Dit mechanisme draagt bij aan het dreigingspotentieel. Deze as-a-service-tools zijn vaak goedkoop en gemakkelijk beschikbaar op het dark web”, aldus Nicolas Casimir, CISO EMEA bij Zscaler.

De toekomst van Malware-as-a-Service
Xloader is een goed ontwikkelde malwarefamilie die verschillende technieken inzet om onderzoekers te misleiden en malware-analyses te belemmeren. Dit doen zij bijvoorbeeld door het toepassen van meerdere encryptie-lagen en het gebruiken van een aangepaste virtuele machine. De combinatie met de lage drempel om deze service aan te schaffen, maakt het een gevaarlijke dienst die veel risico’s oplevert voor organisaties en hun klanten.

Hoewel de schrijvers de Formbook-tak veelal hebben verlaten om zich te concentreren op Xloader, zijn beide soorten vandaag de dag nog steeds actief. Formbook wordt nog steeds gebruikt door cybercriminelen die de gelekte panelcode gebruiken en de C2 zelf beheren, terwijl Xloader verkocht wordt als MaaS, waarbij criminelen de serverinfrastructuur ondersteunen en verhuren. Het is dan ook geen verrassing dat het een van de meest actieve dreigingen is geweest van de afgelopen jaren en het gevaar lijkt voorlopig nog niet geweken.

 

Gerelateerde berichten...

X