XLoader僵尸网络新型变种在算法中引入概率论以隐藏真正的C2服务器地址

《CheckPoint》2022年5月31日发布报告称，监测发现XLoader僵尸网络新型变种在代码逻辑的关键部分进行了重大更新，在算法中引入概率论以隐藏新启用的C2服务器地址。这使得XLoader恶意软件运营商不会因为C2服务器地址被频繁识别而不得不持续更换网络基础设施，同时也减少了攻击者被溯源的风险。研究人员表示，新版本的XLoader将真正的C2服务器域名隐藏在包含63个诱饵域名的配置文件中，恶意程序每次运行会从配置文件中随机选择16个域创建列表，逐一访问列表中的域名后，恶意程序会再次随机选择8个域名对列表中的前8个值进行覆盖。通过此种方式持续访问不同域名，XLoader能够有效的欺骗自动化检测脚本，防止其真实C2地址被快速发现。XLoader僵尸网络是Formbook恶意软件的升级版，自2020年10月开始，以恶意软件即服务的形式在Darknet等黑客论坛进行销售。恶意软件运营者宣称，Xloader是现有最优秀的僵尸网络下载器，支持跨平台传播，并能够从多种主流应用程序中提取存储的密码。